CVE-2020-37126 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:时区名称输入导致**栈溢出**。 💥 **后果**:攻击者可执行**任意代码**,彻底接管系统。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-121**:栈缓冲区溢出。 📍 **缺陷点**:**时区显示名称**输入处理不当,未做长度校验。
Q3影响谁?(版本/组件)
📦 **产品**:Drive Software Free Desktop Clock。 🏷️ **版本**:仅限 **3.0** 版本受影响。
Q4黑客能干啥?(权限/数据)
👑 **权限**:获得**完全控制**(CVSS A:H)。 📂 **数据**:机密性/完整性全失(C:H, I:H),可窃取数据或篡改系统。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**极低**。 🔑 **条件**:无需认证(PR:N),无需用户交互(UI:N),远程利用(AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exploit**:有现成利用代码。 🔗 参考 **ExploitDB-48314**,且存在第三方详细利用说明。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查是否安装 **Free Desktop Clock 3.0**。 📝 **特征**:关注时区设置相关的输入字段是否触发崩溃。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:数据中**未提供**官方补丁链接或修复状态。 ⚠️ 仅列出厂商主页,需自行联系厂商确认。
Q9没补丁咋办?(临时规避)
🚧 **规避**:立即**卸载**该软件。 🚫 或禁止非管理员用户运行该程序,切断远程攻击路径。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急**。 📈 **评分**:CVSS **9.8**(Critical),零交互远程代码执行,必须立即处置。