CVE-2024-12225 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Quarkus框架中 `quarkus-security-webauthn` 模块的默认REST端点未禁用。 💥 **后果**：攻击者可利用该未受保护的接口，实现**任意用户登录**，彻底绕过身份验证。

🔍 **CWE**：CWE-288 (Authentication Bypass Using an Alternate Path or Channel)。 📍 **缺陷点**：安全模块的**默认配置不当**，关键认证接口暴露且无访问限制。

📦 **组件**：Quarkus 框架。 🧩 **具体模块**：`quarkus-security-webauthn`。 🌐 **环境**：云原生/容器优先的 Java 应用程序。

🔓 **权限**：获得**任意用户身份**，无需合法凭证。 📊 **数据**：可访问该用户的所有权限范围数据，导致**机密性(C)和完整性(I)完全丧失**。

📉 **门槛**：**极低**。 🔑 **认证**：无需认证 (PR:N)。 🖱️ **交互**：无需用户交互 (UI:N)。 🌍 **攻击向量**：网络远程 (AV:N)。

📜 **Exp/PoC**：当前数据中 **无** 公开的 PoC 或漏洞利用代码。 🌍 **在野利用**：暂无在野利用报告。

🔍 **自查特征**：检查项目中是否引入了 `quarkus-security-webauthn` 依赖。 🛠️ **扫描**：确认 WebAuthn 相关的 REST 端点是否在默认配置下处于**启用状态**。

🛡️ **官方修复**：数据中未提供具体的补丁版本或修复链接。 📝 **参考**：建议查阅 Red Hat Bugzilla (#2330484) 获取最新修复状态。

🚧 **临时规避**： 1. **手动禁用**：在配置中显式禁用 `quarkus-security-webauthn` 的默认 REST 端点。 2. **访问控制**：通过防火墙或网关限制对该端点的访问。

⚡ **优先级**：**高**。 📈 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N (高危)。 💡 **建议**：鉴于无需认证即可登录，建议**立即**采取缓解措施或升级。