CVE-2020-35848 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Agentejo Cockpit 存在 **NoSQL 注入**漏洞（描述中提及 SQL 注入，但 PoC 明确为 NoSQL）。<br>🔥 **后果**：攻击者可绕过认证，重置任意用户密码，甚至链式利用导致 **远程代码执行 (RCE)**。

🛡️ **缺陷点**：`Auth.php` 控制器的 `newpassword` 函数。<br>🔍 **原因**：对用户输入（如重置令牌或用户名）处理不当，直接拼接进 MongoDB 查询，未做过滤。

📦 **产品**：Agentejo Cockpit CMS。<br>📉 **版本**：**0.11.2 之前**的所有版本（包括 0.11.1, 1.7 等）。<br>🌍 **厂商**：Agentejo (德国)。

🕵️ **权限提升**：无需登录即可操作。<br>💾 **数据窃取**：枚举有效用户名、提取密码重置令牌。<br>🔓 **账户接管**：重置任意账户密码。<br>💥 **RCE**：通过文件上传或自定义管理动作执行恶意代码。

📶 **门槛低**：**无需认证** (Unauthenticated)。<br>🎯 **入口**：公开可用的 `/auth/newpassword` 端点。<br>⚙️ **配置**：默认安装即受影响，无需特殊配置。

🧨 **有 Exp**：GitHub 上有现成 PoC 和 CTF 实验室环境。<br>📜 **参考**：Nuclei 模板、PacketStorm 均有详细利用说明。<br>🌐 **在野**：虽未明确大规模爆发，但利用链清晰，风险极高。

🔍 **扫描特征**：检测 `/auth/newpassword` 接口的异常响应。<br>📡 **工具**：使用 Nuclei 模板 `CVE-2020-35848.yaml` 快速扫描。<br>👀 **手动**：尝试注入 MongoDB 操作符（如 `$gt`）观察响应差异。

✅ **已修复**：官方已发布补丁。<br>🔗 **修复版本**：**0.12.0** 及更高版本。<br>📝 **提交**：GitHub 上有多个修复提交记录（如 `33e7199`）。

🚧 **临时规避**：<br>1. **升级**：立即升级至 0.12.0+。<br>2. **WAF**：拦截包含 MongoDB 特殊字符（`$`, `{`, `}`）的请求。<br>3. **限制**：若无法升级，限制 `/auth/newpassword` 的访问 IP 或添加验证码。

🔴 **优先级：高**。<br>⚡ **理由**：无需认证即可利用，且可导致 RCE。<br>🏃 **行动**：立即检查版本，若低于 0.11.2，**立刻升级**或应用缓解措施。