CVE-2020-37049 — 神龙十问 AI 深度分析摘要
CVSS 8.4 · High
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **Frigate 3.36.0.9 命令行缓冲区溢出漏洞**。本质:输入未校验导致堆栈溢出。后果:本地提权、任意代码执行(如 calc.exe)。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-121:缓冲区溢出**。缺陷点:命令行输入字段无长度限制,未做边界检查,直接写入固定大小缓冲区。
Q3影响谁?(版本/组件)
⚠️ **Frigate 3.36.0.9** 版本。组件:命令行输入处理模块。仅限本地用户可触发。
Q4黑客能干啥?(权限/数据)
💻 黑客可:执行任意系统命令、读写文件、提权至进程权限(本地攻击者)。数据泄露+系统控制。
Q5利用门槛高吗?(认证/配置)
🔓 利用门槛低!无需认证、无需特殊配置。本地用户即可触发,UI/N(用户交互无需)。
Q6有现成Exp吗?(PoC/在野利用)
🧨 有现成Exp!ExploitDB-48563 提供PoC。VulnCheck 有详细分析。未见在野利用报告。
Q7怎么自查?(特征/扫描)
🔎 自查方法:检查系统是否运行 Frigate 3.36.0.9;用工具扫描进程/版本号;监控异常命令行输入行为。
Q8官方修了吗?(补丁/缓解)
✅ 官方未明确补丁,但建议升级至后续版本。缓解措施:禁用命令行输入、限制用户权限。
Q10急不急?(优先级建议)
⚠️ **高优先级!** CVSS 9.8(H)——本地任意代码执行,风险极高。立即修复或隔离系统。