CVE-2024-46506 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未经验证的**命令注入**漏洞。 💥 **后果**：攻击者可执行**任意系统命令**，彻底接管服务器。

🔍 **CWE-306**：缺少身份验证。 📍 **缺陷点**：`settings.php` 和 `util.php` 中的 `savesettings` 函数**未校验权限**即可保存设置。

📦 **产品**：NetAlertX（网络入侵检测器）。 📅 **版本**：**23.01.14** 至 **24.10.12** 之前的所有版本。

👑 **权限**：获得**最高控制权**（Root/System）。 📊 **数据**：可读取、修改、删除任何数据，甚至横向移动。

📉 **门槛极低**。 🔓 **无需认证**：攻击者无需登录即可直接利用。 🌐 **网络可达**：只要端口开放即可攻击。

🔥 **已在野利用**：2025年5月已发现真实攻击。 🛠️ **现成工具**：有 **Metasploit** 模块及轻量级 **Python PoC** 脚本。

🔎 **扫描特征**：检测对 `settings.php` 或 `util.php` 的未授权 POST 请求。 🧪 **验证**：尝试注入恶意命令看是否执行成功。

✅ **已修复**：升级到 **24.10.12** 或更高版本。 📝 **补丁**：官方已发布包含身份验证检查的新版本。

🛡️ **临时规避**： 1. **防火墙**：限制访问仅限内网信任IP。 2. **Nginx/Apache**：在 Web 层拦截未认证的 `savesettings` 请求。 3. **下线**：若无法升级，建议暂时停用。

🚨 **优先级：紧急 (Critical)**。 ⚠️ **理由**：CVSS **10.0分**，无认证，已在野利用，危害极大。 🏃 **行动**：**立即升级**或实施网络隔离。