CVE-2020-14864 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞（Path Traversal） 💥 **后果**：攻击者可通过 HTTP 访问内部文件，导致系统被破坏。

🔍 **缺陷点**：未对输入路径进行严格校验 📉 **CWE**：数据中未提供具体 CWE ID，但属于典型的 LFI（本地文件包含）类缺陷。

🏢 **厂商**：Oracle Corporation 📦 **产品**：Business Intelligence Enterprise Edition 📌 **受影响版本**：5.5.0.0.0, 12.2.1.3.0, 12.2.1.4.0

🕵️ **黑客能力**：读取服务器敏感文件 📂 **数据风险**：高机密性泄露（C:H），但当前描述未提及直接执行代码或完全破坏可用性。

🚪 **利用门槛**：极低 🔑 **认证要求**：**无需身份验证**（PR:N） 🌐 **网络要求**：远程可达（AV:N）

💻 **现成 Exp**：有 🔗 **PoC 来源**：ProjectDiscovery Nuclei Templates 📝 **触发点**：通过 `getPreviewImage` 接口触发。

🔎 **自查方法**：扫描 HTTP 请求中的路径遍历特征 🛠️ **工具**：使用 Nuclei 模板 `CVE-2020-14864.yaml` 进行自动化检测。

🛡️ **官方修复**：已发布安全公告 📅 **发布时间**：2020-10-21 🔗 **参考**：Oracle CPU Oct 2020 安全警报。

⚠️ **临时规避**：若无法立即打补丁 🚫 **建议**：限制对 `getPreviewImage` 接口的访问 🔒 **措施**：配置 WAF 规则拦截路径遍历 Payload。

🔥 **紧急程度**：高 📊 **CVSS 评分**：高危（AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N） 💡 **建议**：尽快应用官方补丁或实施网络层隔离。