CVE-2024-8888 — 神龙十问 AI 深度分析摘要

🚨 **本质**：令牌（Token）未设置过期时间。 💥 **后果**：一旦令牌泄露，攻击者可**永久**无限制访问网页应用，无法通过自然过期防御。

🛡️ **CWE-613**：会话Cookie缺少过期属性。 🔍 **缺陷点**：代码逻辑中未定义令牌的**生命周期**，导致令牌无限期有效。

🏭 **厂商**：CIRCUTOR。 📦 **产品**：Q-SMT 工业硬件设备。 ⚠️ **版本**：仅限 **1.0.4** 版本受影响。

🕵️ **权限**：获得**完全**网页应用访问权限。 📂 **数据**：可窃取本地存储的网页信息，实现**无限制**操作，危害极高（CVSS H）。

🚪 **门槛**：**极低**。 🌐 **网络**：攻击向量（AV:N）为网络远程。 🔑 **认证**：无需权限（PR:N）或用户交互（UI:N），直接利用。

📜 **Exp**：当前 **无** 公开 PoC 或现成利用代码。 🌍 **在野**：暂无在野利用报告，但风险极高。

🔍 **自查**：检查登录响应头或 Cookie 设置。 📝 **特征**：确认会话令牌是否包含 `Expires` 或 `Max-Age` 属性。若无，则存在风险。

🔧 **补丁**：参考官方公告（Incibe CERT）。 📢 **状态**：需联系 CIRCUTOR 获取 **1.0.4** 之后的修复版本或临时缓解措施。

🛡️ **规避**： 1. **缩短** 会话超时时间（若配置允许）。 2. 实施严格的 **网络访问控制**（ACL）。 3. 定期 **轮换** 管理员账号密码。

🔥 **优先级**：**紧急**。 📈 **评分**：CVSS **9.8**（Critical）。 💡 **建议**：立即隔离设备或限制网络访问，尽快升级固件。