CVE-2024-13161 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Ivanti EPM 存在**绝对路径遍历**漏洞。 💥 **后果**：远程未认证攻击者可**泄露敏感信息**，导致机密性、完整性和可用性严重受损。

🔍 **CWE**：CWE-36 (绝对路径遍历)。 📍 **缺陷点**：`GetHashForSingleFile` 端点的 **wildcard 参数**缺乏正确的输入验证，允许指定远程 UNC 路径。

🏢 **厂商**：Ivanti。 💻 **产品**：Endpoint Manager (EPM)。 📅 **涉及版本**：EPM 2024 及 EPM 2022 SU6（参考官方安全公告）。

🕵️ **黑客能力**：利用**未认证**访问，强制 EPM 机器账户凭证进行 **NTLM 身份验证**。 📂 **数据风险**：可读取**敏感信息**，造成高危害的数据泄露。

🚪 **门槛**：**极低**。 ✅ **认证**：**无需身份验证** (PR:N)。 🌐 **网络**：远程可利用 (AV:N)。 ⚡ **复杂度**：低 (AC:L)。

🧪 **PoC**：有现成模板。 🔗 **来源**：ProjectDiscovery Nuclei Templates (`CVE-2024-13161.yaml`)。 🔥 **在野**：数据未明确提及，但 CVSS 评分极高，需警惕。

🔎 **自查方法**：使用 Nuclei 扫描模板检测 `GetHashForSingleFile` 端点。 📝 **特征**：检查是否存在通过 wildcard 参数触发远程 UNC 路径解析的行为。

🛠️ **官方修复**：Ivanti 已发布安全公告。 📄 **链接**：参考 Ivanti 论坛 2025年1月安全公告。 ✅ **建议**：立即应用官方补丁或更新。

🛡️ **临时规避**：若无补丁，应**限制网络访问**，阻止外部对 EPM 相关端点的未认证请求。 🚫 **配置**：禁用不必要的远程路径解析功能（如适用）。

⚠️ **优先级**：**紧急**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (高危)。 🚀 **行动**：立即修补，防止未认证攻击者利用路径遍历窃取凭证或数据。