CVE-2026-24002 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Grist 电子表格存在 **注入漏洞**。 🔥 **后果**：攻击者可绕过沙箱，在服务器上执行 **任意进程**，彻底失控。

🛡️ **CWE**：CWE-74（外部组件控制）。 🔍 **缺陷点**：**pyodide 沙箱屏障不足**，未能有效隔离代码执行环境。

📦 **组件**：gristlabs / grist-core。 📅 **版本**：**Grist 1.7.9 之前**的所有版本均受影响。

💀 **权限**：服务器级 **任意进程执行**。 📂 **数据**：可完全控制服务器，窃取或篡改所有文档数据。

🎯 **门槛**：**高**（AC:H）。 🔑 **认证**：无需认证（PR:N），无需用户交互（UI:N），但利用条件苛刻。

📜 **Exp**：当前 **无公开 PoC**（pocs 为空）。 🌍 **在野**：暂无在野利用报告。

🔍 **自查**：检查 Grist 版本是否 < 1.7.9。 📋 **配置**：审查 pyodide 沙箱配置是否遵循官方加固指南。

🛠️ **补丁**：官方已发布安全公告（GHSA-7xvx-8pf2-pv5g）。 ✅ **修复**：升级至 **1.7.9 或更高版本** 即可修复。

⚠️ **临时规避**：参考官方文档配置 **文档沙箱**。 🚫 **限制**：确保 pyodide 环境严格隔离，避免执行不可信代码。

🔥 **优先级**：**高**（S:C, C:H, I:H, A:H）。 💡 **建议**：虽利用难度高，但后果致命，建议 **立即升级** 或实施严格沙箱策略。