CVE-2024-8752 — 神龙十问 AI 深度分析摘要

🚨 **本质**：目录遍历漏洞 (Directory Traversal)。 💥 **后果**：远程攻击者可读取系统上的**任意文件**，导致敏感信息泄露。

🔍 **CWE**：CWE-22 (Improper Limitation of a Pathname to a Restricted Directory)。 📍 **缺陷点**：输入验证缺失，未正确过滤路径中的 `../` 等序列。

🏢 **厂商**：Smart HMI。 📦 **产品**：WebIQ。 📌 **版本**：仅 **2.15.9** 版本受影响。

🕵️ **权限**：远程攻击者无需本地访问。 📂 **数据**：可读取**系统上任何文件**（如配置文件、源码、密钥等）。

⚡ **门槛**：低。 🔑 **认证**：描述指出“允许远程攻击者”，暗示可能无需认证或认证绕过即可利用。 🌐 **配置**：基于 Web 的 HMI 系统，暴露面较大。

📜 **PoC**：有。 🔗 **来源**：GitHub 上有专门针对 WebIQ 2.15.9 的 PoC 代码。 🤖 **自动化**：ProjectDiscovery Nuclei 模板已收录。

🔎 **自查**： 1. 检查 WebIQ 版本是否为 **2.15.9**。 2. 使用 Nuclei 扫描模板 `http/cves/2024/CVE-2024-8752.yaml`。 3. 尝试构造包含 `../` 的文件请求路径。

🛡️ **补丁**：数据中未提供官方补丁链接或具体修复版本。 ⚠️ **参考**：Tenable 发布了相关安全研究 (TRA-2024-38)，建议联系厂商获取更新。

🚧 **临时规避**： 1. **网络隔离**：限制对 WebIQ 管理界面的访问。 2. **WAF 规则**：拦截包含 `../` 或路径遍历特征的 HTTP 请求。 3. **最小权限**：确保 WebIQ 服务账户无高权限。

🔥 **优先级**：高。 📅 **时间**：2024-09-16 发布。 💡 **建议**：由于 PoC 公开且后果严重（任意文件读取），建议**立即**排查版本并实施网络层缓解措施。