CVE-2023-50917 — 神龙十问 AI 深度分析摘要

🚨 **本质**：MajorDoMo 智能家居平台的 `thumb.php` 模块存在 **命令执行漏洞**。后果：攻击者可远程执行任意系统命令，彻底接管服务器。

🔍 **根本原因**：文件 `thumb.php` 未对用户输入进行严格过滤，直接拼接 **Shell 元字符** 执行系统命令。CWE 未明确标注，属典型的 **命令注入**。

🎯 **影响范围**：MajorDoMo 开源智能家居平台。具体为版本号在 **0662e5e 之前** 的所有版本。

💀 **黑客能力**：拥有 **未授权远程代码执行 (RCE)** 权限。可窃取数据、植入后门、控制智能家居设备，甚至横向移动。

⚡ **利用门槛**：**极低**。无需认证（Unauthenticated），无需特殊配置，直接通过 HTTP 请求即可触发。

📦 **现成 Exp**：**有**。GitHub 上已有详细利用技术文章及 PoC（如 Chocapikk 和 ProjectDiscovery 提供的模板）。

🔎 **自查方法**：扫描 `thumb.php` 接口，检测是否响应包含 Shell 元字符注入的恶意 Payload。使用 Nuclei 模板 `CVE-2023-50917.yaml` 快速扫描。

🛡️ **官方修复**：**已修复**。参考提交 `0662e5ebfb133445ff6154b69c61019357092178` 及 `3ec3ffb863ea3c2661ab27d398776c551f4daaac`。

🚧 **临时规避**：若无补丁，立即 **移除或禁用** `thumb.php` 模块访问权限，或在 WAF 中拦截针对该文件的恶意注入请求。

🔥 **优先级**：**极高**。未授权 RCE 且 PoC 公开，建议 **立即升级** 至修复版本或采取紧急隔离措施。