CVE-2021-47903 — 神龙十问 AI 深度分析摘要

🚨 **本质**：外部应用配置接口存在**命令注入**。 💥 **后果**：可触发**远程代码执行(RCE)**。 ⚠️ 攻击者可完全控制受影响服务器！

🔍 **根本原因**：外部接口未过滤输入 → **命令注入**。 📌 对应 **CWE-77**：命令中拼接不可信输入。 🧨 缺陷点：配置调用系统命令时直接拼接参数。

🎯 **影响版本**：LiteSpeed Web Server Enterprise **5.4.11**。 📦 **组件**：外部应用配置接口模块。 ❗ 仅该版本存在此漏洞。

👤 **权限**：需低权限用户(**PR:L**)。 💻 **可执行任意代码** → 接管服务器。 📂 **数据风险**：读取/篡改/删除敏感数据。

✅ **利用门槛低**！ 🔑 仅需**普通用户权限**。 ⚙️ 无需特殊配置或交互(**UI:N**)。 🌐 可远程直接触发。

🧪 **有现成Exp**！ 📌 ExploitDB ID：**49523**。 📄 第三方PoC可见 [@ExploitDB-49523]。 🚨 暂无在野利用数据（基于提供信息）。

🔍 **自查方法**： - 检查版本 = **5.4.11**？ - 检索是否存在外部应用配置接口。 - 监控接口调用日志有无异常命令。 🛠️ 可用指纹识别工具快速定位。

🛡️ **官方已修复**（依据参考链接）。 📌 升级到**不含漏洞的版本**。 🔗 产品页：[LiteSpeed Web Server Product Page](https://www.litespeedtech.com/products)

⚠️ **无补丁前**： - 限制外部应用配置接口的访问IP。 - 禁用或移除该接口功能。 - 加强WAF规则拦截可疑命令注入payload。 🚧 临时隔离高风险操作。

🔥 **极高优先级**！ 📈 CVSS 3.1 = **9.0+** (H/H/H)。 🌍 网络可达 + 低门槛 = 易被批量利用。 ⏰ 立刻核查 & 升级！