CVE-2022-24990 — 神龙十问 AI 深度分析摘要

🚨 **本质**：TerraMaster TOS 的 `api.php` 脚本中 `webNasIPS` 组件存在**输入验证错误**。 💥 **后果**：攻击者可绕过身份验证，在目标系统上执行**任意命令**（RCE）。

🔍 **缺陷点**：**访问控制错误** + **输入验证不正确**。 📝 **技术细节**：源于 PHP 对象实例化过程中的逻辑漏洞，导致未授权访问。

📦 **受影响产品**：TerraMaster TOS（铁威马 NAS 操作系统）。 📌 **具体版本**：**4.2.29** 版本。 🐧 **底层平台**：基于 Linux。

🔓 **权限**：**未经身份验证**（Unauthenticated）。 💾 **数据/操作**：可直接执行**任意系统命令**，完全控制服务器。

📉 **门槛**：**极低**。 ✅ **认证**：**无需登录**，无需任何凭证。 🌐 **配置**：直接通过 HTTP 请求即可触发。

🛠️ **现成工具**：**有**。 📂 **资源**：GitHub 上存在多个 PoC/Exp（如 `CVE-2022-24990-POC`、`0xf4n9x` 等）。 🚀 **功能**：支持单目标扫描、批量扫描、甚至上传 Webshell。

🔎 **自查方法**： 1. 使用提供的 Python PoC 脚本进行探测。 2. 扫描目标是否响应特定的 PHP 对象实例化 payload。 3. 检查是否存在 `api.php` 且未修复该组件。

🛡️ **官方修复**：数据中**未提及**官方补丁链接或具体修复版本。 ⚠️ **现状**：仅提供了漏洞描述和第三方 PoC，建议联系厂商获取最新固件。

🚧 **临时规避**： 1. **网络隔离**：将 NAS 置于内网，禁止公网直接访问 80/443 端口。 2. **WAF 防护**：拦截针对 `api.php` 的异常 POST 请求。 3. **访问控制**：限制管理后台 IP 白名单。

🔥 **优先级**：**极高 (Critical)**。 ⚡ **理由**：无需认证即可远程执行命令，危害极大，且已有公开 Exp，被利用风险高。建议立即排查！