CVE-2026-32817 — 神龙十问 AI 深度分析摘要

🚨 **本质**：文档/文件模块缺权限校验+CSRF防护。 💥 **后果**：攻击者可**任意删除**文件或文件夹，数据彻底丢失。

🔍 **CWE-862**：缺失必要的授权。 🛠 **缺陷点**：关键操作未验证用户权限，且无 **CSRF Token** 保护。

📦 **产品**：Admidio（开源成员管理系统）。 📅 **版本**：**5.0.6 及之前**所有版本均受影响。

🗑️ **能力**：直接**删除**任意文件/目录。 📉 **影响**：完整性（I:H）和可用性（A:H）严重受损，机密性无影响。

⚡ **门槛低**： - 无需认证（PR:N） - 无需用户交互（UI:N） - 网络远程即可利用（AV:N）

❌ **无现成Exp**：数据中 `pocs` 为空，暂无公开 PoC 或确认的在野利用。

🔎 **自查**： 1. 检查 Admidio 版本是否 ≤ 5.0.6。 2. 审计文档/文件模块接口是否缺少 CSRF 校验逻辑。

🛡️ **官方修复**：已发布安全公告（GHSA-rmpj-3x5m-9m5f），建议立即升级至**安全版本**。

🚧 **临时规避**： - 限制文档/文件模块访问权限。 - 部署 WAF 拦截删除类高危请求。 - 定期备份数据以防万一。

🔥 **优先级：高**。 CVSS 8.8 分，远程无需认证即可破坏数据，建议**立即升级**！