CVE-2024-23334 — 神龙十问 AI 深度分析摘要
CVSS 5.9 · Medium
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:aiohttp 路径遍历漏洞 (LFI)。 🔥 **后果**:攻击者可读取服务器根目录外的任意文件,导致**敏感数据泄露**(如源码、配置文件、密钥)。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-22**:路径遍历。 🐛 **缺陷点**:当 `follow_symlinks=True` 时,**未检查**读取的文件是否位于根目录内,导致符号链接绕过限制。
Q3影响谁?(版本/组件)
📦 **组件**:Python aiohttp 库。 📉 **受影响版本**:**< 3.9.2**(包括 3.9.1 及更早版本)。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: - **读取**:任意本地文件内容。 - **权限**:无需认证 (PR:N)。 - **影响**:机密性高 (C:H),完整性/可用性无直接影响。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛**:中等 (AC:H)。 🔑 **条件**:需目标使用 aiohttp 且配置 `follow_symlinks=True`。 🚫 **无需**:用户交互 (UI:N) 或 认证 (PR:N)。
Q6有现成Exp吗?(PoC/在野利用)
🧨 **有现成 Exp**: - GitHub 上多个 PoC 仓库(如 `z3rObyte`, `jhonnybonny`)。 - 自动化扫描工具已集成检测逻辑。 - **注意**:利用需特定配置,非万能。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查 Python 依赖:`pip show aiohttp`。 2. 代码扫描:查找 `follow_symlinks=True` 配置。 3. 网络指纹:检测响应头是否含 `Python aiohttp`。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方已修复**: - 修复版本:**3.9.2+**。 - 补丁链接:GitHub PR #8079 及 Commit `1c33594`。 - 建议:立即升级至最新版本。
Q9没补丁咋办?(临时规避)
🚧 **无补丁规避**: - **禁用** `follow_symlinks` 选项(设为 False)。 - 若必须启用,需**手动实现**路径安全检查,确保文件在根目录内。 - 使用 WAF 拦截 `../` 等遍历字符。
Q10急不急?(优先级建议)
⚠️ **优先级**:高。 📅 **时间**:2024-01-29 公布。 💡 **建议**:虽然利用需特定配置,但后果严重(数据泄露)。建议**尽快升级** aiohttp 库,特别是对外提供服务的 API 网关。