CVE-2019-9082 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:ThinkPHP 访问控制错误导致远程命令执行 (RCE)。 💥 **后果**:攻击者可完全控制服务器,执行任意系统命令。
Q2根本原因?(CWE/缺陷点)
🔍 **缺陷点**:`invokefunction` 功能未做严格校验。 ⚠️ **CWE**:数据中未提供具体 CWE ID,属逻辑/访问控制缺陷。
Q3影响谁?(版本/组件)
📦 **受影响**:ThinkPHP **3.2.4 之前**版本。 🏢 **场景**:常见于 Open Source BMS v1.1.1 及其他衍生设备。
Q4黑客能干啥?(权限/数据)
👑 **权限**:远程攻击者获得 **最高权限**。 📂 **数据**:可执行 `system()` 函数,窃取数据或植入后门。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**极低**。 🔓 **认证**:无需认证,远程即可利用。 🔗 **入口**:通过 `public//?s=index/` 参数构造。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp**:**有**。 📂 **来源**:Exploit-DB (ID: 46488) 及 Nuclei 模板已公开。
Q7怎么自查?(特征/扫描)
🔎 **自查**:扫描 URL 是否包含 `invokefunction` 参数。 📡 **工具**:使用 Nuclei 模板 `CVE-2019-9082.yaml` 快速检测。
Q8官方修了吗?(补丁/缓解)
🛡️ **修复**:升级至 **ThinkPHP 3.2.4 或更高版本**。 📝 **注意**:官方描述指向版本升级,未提及热补丁。
Q9没补丁咋办?(临时规避)
🚧 **规避**: 1. 禁用 `invokefunction` 功能。 2. WAF 拦截含 `call_user_func_array` 的恶意 Payload。 3. 限制 `public` 目录访问权限。
Q10急不急?(优先级建议)
⚡ **优先级**:**紧急 (Critical)**。 🔥 **理由**:无需认证、RCE 危害极大、Exp 已公开,建议立即处置。