CVE-2024-6424 — 神龙十问 AI 深度分析摘要

🚨 **本质**：敏感信息泄露漏洞。 📉 **后果**：攻击者可直接读取 **Web文件源代码**，导致内部逻辑、配置或敏感数据暴露。

🔍 **CWE**：CWE-918（服务器端请求伪造 SSRF 导致的敏感信息泄露）。 🐛 **缺陷**：服务器端未正确验证请求来源或路径，导致能访问本应受限的资源。

🏭 **厂商**：MESbook。 📦 **产品**：MESbook（基于网络的工厂机器数据管理系统）。 📅 **版本**：**20221021.03** 及可能受影响的旧版本。

👀 **数据**：Web 应用的 **源代码**。 🔓 **权限**：无需认证即可读取，可能包含后端逻辑、API 密钥或数据库连接串。

📉 **门槛**：**极低**。 🔑 **认证**：无需登录（PR:N）。 🌐 **网络**：网络可达即可（AV:N）。 ⚡ **复杂度**：低（AC:L）。

🧪 **Exp**：数据中未提供现成 PoC。 🌍 **在野**：暂无公开在野利用报告，但利用逻辑简单，风险高。

🔎 **自查**：检查是否运行 MESbook 20221021.03。 📡 **扫描**：尝试访问疑似敏感路径，观察是否返回源代码文本而非渲染页面。

🛡️ **补丁**：官方已发布安全公告（Incibe CERT）。 ✅ **建议**：立即联系厂商获取 **更新版本** 或官方修复补丁。

⚠️ **规避**：若无法立即升级，建议 **限制网络访问**。 🚫 **策略**：仅允许受信任 IP 访问 MESbook 服务，或部署 WAF 拦截异常请求。

🔥 **优先级**：**高**。 ⚖️ **CVSS**：3.1 分，C:H（机密性高）。 🚀 **行动**：鉴于无需认证且后果严重，建议 **立即处置**，防止源码泄露引发二次攻击。