CVE-2024-5743 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Eve Play 音频流接口存在**密码哈希计算工作量不足**的缺陷。 💥 **后果**：攻击者可利用此弱点**执行任意代码**，彻底破坏系统安全。

🛡️ **CWE-916**：使用过时的或不安全的密码存储实践。 🔍 **缺陷点**：哈希算法迭代次数或复杂度不够，导致**暴力破解**或**彩虹表攻击**极易成功。

📦 **厂商**：EveHome。 🎯 **产品**：Eve Play。 ⚠️ **版本**：**1.1.42 及之前版本**均受影响。

🔓 **权限**：攻击者可获取**高权限**，甚至完全控制设备。 💾 **数据**：可读取、修改或删除**任意数据**，并植入恶意代码。

📉 **门槛极低**。 🔑 **认证**：无需认证 (PR:N)。 🌐 **网络**：网络远程 (AV:N)。 👀 **交互**：无需用户交互 (UI:N)。

🚫 **无现成 Exp**。 📄 **PoC**：数据中未提供公开的概念验证代码 (PoCs: [])。 🌍 **在野**：暂无在野利用报告。

🔍 **自查特征**：检查固件版本是否 ≤ 1.1.42。 📡 **扫描**：针对 EveHome Eve Play 设备进行版本指纹识别，重点关注音频流接口配置。

🛠️ **官方动态**：已发布安全公告。 🔗 **参考**：访问 [EveHome 安全内容页面](https://www.evehome.com/en-us/security-content) 获取最新补丁或缓解措施。

⏳ **临时规避**：若无法立即升级，建议**断开非必要网络连接**，限制设备访问范围，并密切监控异常日志。

🔥 **优先级：高**。 📈 **CVSS 评分**：9.1 (Critical)。 💡 **建议**：鉴于**无需认证**且**影响全面**，建议**立即**规划升级或应用缓解措施。