CVE-2019-9194 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:elFinder PHP连接器存在**命令注入**漏洞。 💥 **后果**:攻击者可执行任意系统命令,导致**远程代码执行 (RCE)**,服务器彻底沦陷。
Q2根本原因?(CWE/缺陷点)
🔍 **缺陷点**:处理JPEG图片时,**文件名**未经验证直接传给 `exiftran` 工具。 🚫 **CWE**:数据未提供,但典型为 **CWE-78 (OS命令注入)**。
Q3影响谁?(版本/组件)
📦 **组件**:elFinder 2.1.48 之前的版本。 🔧 **模块**:PHP connector(PHP连接器)。
Q4黑客能干啥?(权限/数据)
👑 **权限**:以 **Web服务器用户** 身份执行代码。 📂 **数据**:可读取/篡改服务器文件,甚至控制整个主机。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**低**。 🔓 **认证**:**无需认证**(Unauthenticated),远程即可利用。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp**:**有**。 🔗 参考:Exploit-DB (46481, 46539) 及 GitHub PoC。
Q7怎么自查?(特征/扫描)
🔎 **自查**:扫描是否存在 elFinder 的 PHP 连接器接口。 📸 **特征**:尝试上传特制JPEG文件名触发 `exiftran` 报错或回显。
Q8官方修了吗?(补丁/缓解)
🛡️ **修复**:**已修复**。 📌 **版本**:升级至 **elFinder 2.1.48** 或更高版本。
Q9没补丁咋办?(临时规避)
⚠️ **规避**:若无补丁,需**严格过滤**上传文件名。 🚫 禁止将文件名直接拼接至系统命令中。
Q10急不急?(优先级建议)
🔥 **优先级**:**极高 (Critical)**。 🚀 **建议**:立即升级,因无需认证且利用简单,在野风险大。