CVE-2024-8940 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Scriptcase 低代码平台存在**代码问题漏洞**。 🔥 **后果**：攻击者可利用**输入验证不当**，向服务器**上传恶意文件**，导致系统被控或数据泄露。

🛡️ **CWE**：CWE-434（**不受限制的文件上传**）。 🔍 **缺陷点**：**输入验证**逻辑缺失或失效，未对上传文件的类型、内容进行严格校验。

📦 **厂商**：Scriptcase。 🏷️ **产品**：Scriptcase 低代码平台。 ⚠️ **版本**：**9.4.019** 版本受影响。

💀 **权限**：攻击者可获得**服务器级权限**（S:C 改变安全上下文）。 📂 **数据**：可完全**控制**（C:H）和**篡改**（I:H）系统数据，甚至执行任意代码。

🚪 **门槛**：**极低**。 🔑 **认证**：**无需认证**（PR:N）。 🌐 **网络**：**网络远程**（AV:N）。 🎯 **复杂度**：**低**（AC:L），无需用户交互（UI:N）。

📜 **Exp**：当前数据中 **PoC 列表为空**（pocs: []）。 🌍 **在野**：暂无公开在野利用报告，但鉴于 CVSS 评分极高，风险极大。

🔍 **自查**：检查 Scriptcase 版本是否为 **9.4.019**。 📡 **扫描**：重点检测**文件上传接口**是否存在未授权访问或类型绕过漏洞。

🩹 **补丁**：数据中未提供具体补丁链接。 🔗 **参考**：建议查阅 **Incibe** 官方公告获取最新修复方案。

🛡️ **规避**：若无法立即升级，应**禁用文件上传功能**或严格限制上传目录权限。 🚫 **网络**：限制对 Scriptcase 管理界面的**外部访问**。

🚨 **优先级**：**紧急**。 📊 **CVSS**：**9.8**（Critical），攻击向量简单且无需认证，需**立即**采取行动。