脆弱性プラットフォーム
- AI
ホーム
POC
再現済み
インテリジェンス
統計
料金
その他
APIドキュメント
注目のAI POC
赏金情报
購入
概要
検索
日本語
中文
English
日本語
テーマ
デフォルト
アニメピンク
リッチな気分
ログイン
目標達成
すべての支援者に感謝 — 100%達成しました!
目標: 1000 CNY · 調達済み:
1336
CNY
100%
コーヒーを一杯おごる
ホーム
CVE-2026-1709
神龙十问摘要
CVE-2026-1709
— 神龙十问 AI 深度分析摘要
更新日 2026-05-06
CVSS 9.4 · Critical
本页是神龙十问 AI 深度分析的
摘要版
。完整版(更长回答、追问、相关漏洞)需
登录查看 →
Q1
这个漏洞是什么?(本质+后果)
🚨 **本质**:Keylime 未强制客户端 TLS 身份验证。 💥 **后果**:未经验证的客户端可执行管理操作,系统完整性受损。
Q2
根本原因?(CWE/缺陷点)
🔍 **CWE-322**:缺乏正确的身份验证机制。 📍 **缺陷点**:TLS 握手阶段未严格校验客户端证书/身份。
Q3
影响谁?(版本/组件)
📦 **组件**:Keylime(开源可扩展信任系统)。 🏷️ **版本**:7.12.0 及之前版本。 🏢 **厂商**:Red Hat(涉及 RHEL 10)。
Q4
黑客能干啥?(权限/数据)
🕵️ **权限**:执行**管理操作**(高权限)。 📊 **数据**:虽 CVSS 显示 C:L,但 I:H/A:H 暗示配置/可用性被恶意篡改风险极大。
Q5
利用门槛高吗?(认证/配置)
🚪 **门槛低**:CVSS 显示 **AV:N** (网络), **AC:L** (低复杂度), **PR:N** (无需权限)。 🔑 **无需认证**:攻击者可直接通过网络发起请求。
Q6
有现成Exp吗?(PoC/在野利用)
🚫 **无现成 Exp**:数据中 `pocs` 为空,暂无公开 PoC 或确认的在野利用报告。
Q7
怎么自查?(特征/扫描)
🔎 **自查**:检查 Keylime 版本是否 ≤ 7.12.0。 🛠️ **配置**:审查 TLS 配置,确认是否启用了严格的客户端证书验证。
Q8
官方修了吗?(补丁/缓解)
✅ **已修复**:Red Hat 已发布安全公告(RHSA-2026:2225/2224/2298)。 📥 **行动**:立即升级 Keylime 至修复版本。
Q9
没补丁咋办?(临时规避)
🛡️ **临时规避**:若无法立即升级,需在网络层限制访问。 🚧 **措施**:通过防火墙仅允许受信任 IP 访问 Keylime 管理接口,或强制前置反向代理进行身份校验。
Q10
急不急?(优先级建议)
🔥 **优先级:高**。 ⚠️ **理由**:CVSS 评分高(I:H, A:H),且无需认证即可远程利用,直接威胁系统管理权,建议**立即修补**。
继续浏览
漏洞详情
完整 AI 分析(登录)
Red Hat
CWE-322