CVE-2021-47748 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Hasura GraphQL Engine 存在 **操作系统命令注入** 漏洞。 💥 **后果**：攻击者可利用 SQL 查询操作，实现 **远程代码执行 (RCE)**，直接控制服务器。

🔍 **CWE**：CWE-78（操作系统命令注入）。 🐛 **缺陷点**：通过 **SQL 查询操作** 处理不当，导致恶意命令被系统执行。

📦 **厂商**：Hasura。 🏷️ **产品**：GraphQL Engine。 ⚠️ **版本**：**1.3.3** 版本受影响。

👑 **权限**：可获取服务器 **任意 Shell 命令执行权限**。 📂 **数据**：可读取、修改或删除服务器上的 **任意数据**，甚至接管整个系统。

🚪 **利用门槛**：**极低**。 🔑 **认证**：**无需认证** (PR:N)。 🌐 **网络**：**远程** (AV:N)。 🎯 **复杂度**：**低** (AC:L)。

💣 **Exploit**：存在现成利用代码。 📚 **来源**：ExploitDB-49802 及 VulnCheck 公告。 🔥 **状态**：公开可用，风险极高。

🔎 **自查**：检查 Hasura 服务版本是否为 **1.3.3**。 🛠️ **扫描**：使用漏洞扫描工具检测 **CWE-78** 特征，重点关注 GraphQL 接口的 SQL 注入点。

🛡️ **官方修复**：数据中未提供具体补丁版本或缓解措施链接。 ⚠️ **注意**：需查阅 Hasura GitHub 仓库获取最新安全更新。

🚧 **临时规避**：若无法立即升级，建议 **限制 GraphQL 接口访问**（如 WAF 规则）。 🔒 **最小权限**：确保 Hasura 容器/进程以 **低权限用户** 运行，减少 RCE 危害。

🔥 **优先级**：**紧急 (Critical)**。 📊 **CVSS**：**9.8** (极高)。 ⚡ **建议**：**立即** 升级或采取网络隔离措施，防止被自动化攻击利用。