CVE-2017-20216 — 神龙十问 AI 深度分析摘要

🚨 **本质**：操作系统命令注入（OS Command Injection）。 💥 **后果**：攻击者可通过未清理的 POST 参数，在目标设备上执行任意系统命令，完全控制设备。

🔍 **CWE**：CWE-78（OS 命令注入）。 🐛 **缺陷点**：软件未对用户输入的 **POST 参数** 进行有效清理或过滤，导致恶意代码被直接执行。

📦 **厂商**：FLIR Systems, Inc. 📷 **产品**：FLIR Thermal Camera PT-Series。 📌 **版本**：8.0.0.64 版本受影响。

👑 **权限**：远程命令执行（RCE），通常获得系统最高权限。 📊 **数据**：可读取、修改或删除设备数据，甚至利用设备作为跳板攻击内网。

📶 **网络**：网络可访问（AV:N）。 🔑 **认证**：无需认证（PR:N）。 🧠 **交互**：无需用户交互（UI:N）。 ⚡ **难度**：低（AC:L），利用门槛极低。

💣 **Exploit**：有现成 Exploit。 📂 **来源**：Exploit-DB (ID: 42785) 和 Packet Storm 均有收录。 ⚠️ **注意**：虽无明确在野利用报告，但 PoC 公开，风险极高。

🔎 **扫描特征**：针对 FLIR PT-Series 8.0.0.64 的 POST 请求注入测试。 🛠️ **工具**：使用支持命令注入检测的漏洞扫描器，或手动构造恶意 POST 参数测试回显。

🛡️ **补丁**：官方已发布安全公告。 📝 **链接**：参考 FLIR 安全博客存档链接（web.archive.org 可查）。 ✅ **建议**：立即联系厂商获取固件更新或补丁。

🚧 **临时规避**： 1. **网络隔离**：将该设备置于隔离 VLAN，限制外部访问。 2. **WAF 防护**：配置 Web 应用防火墙，过滤包含特殊字符（如 `|`, `;`, `&`）的 POST 请求。 3. **关闭服务**：如非必要，暂时关闭设备的 Web 管理接口。

🔥 **优先级**：极高（CVSS 9.8）。 ⚡ **理由**：无需认证、远程利用、影响完整（机密性/完整性/可用性均高）。 🏃 **行动**：立即隔离并计划修复，防止被自动化脚本扫描利用。