CVE-2017-20223 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:不安全的直接对象引用 (IDOR)。 💥 **后果**:攻击者可绕过授权,非法访问受限资源。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE**:CWE-639。 🔍 **缺陷**:未正确验证用户对对象的访问权限,直接暴露内部引用。
Q3影响谁?(版本/组件)
📦 **厂商**:Telesquare。 📱 **产品**:SKT LTE Router SDT-CS3B1。 📅 **版本**:1.2.0。
Q4黑客能干啥?(权限/数据)
👮 **权限**:绕过身份验证。 📂 **数据**:高机密性 (C:H)、高完整性 (I:H)、高可用性 (A:H) 风险。
Q5利用门槛高吗?(认证/配置)
📶 **网络**:网络可访问 (AV:N)。 🔑 **认证**:无需权限 (PR:N)。 🧠 **交互**:无需用户交互 (UI:N)。 ⚡ **难度**:低 (AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exploit**:Exploit DB 有记录 (ID: 43402)。 📚 **参考**:Zero Science Lab 披露 (ZSL-2017-5445)。
Q7怎么自查?(特征/扫描)
🔎 **扫描**:检测 IDOR 特征。 🌐 **目标**:针对 SDT-CS3B1 1.2.0 版本接口进行枚举测试。
Q8官方修了吗?(补丁/缓解)
🛠️ **补丁**:数据未提供官方补丁链接。 ⚠️ **状态**:需联系厂商 Telesquare 获取更新。
Q9没补丁咋办?(临时规避)
🚧 **规避**:限制管理接口访问。 🔒 **策略**:实施严格的访问控制列表 (ACL)。 👀 **监控**:审计异常资源访问请求。
Q10急不急?(优先级建议)
🔥 **优先级**:极高。 📉 **CVSS**:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (严重)。 ⚡ **建议**:立即隔离或升级。