CVE-2024-49375 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Rasa 框架存在远程代码执行(RCE)漏洞。 💥 **后果**:攻击者可完全控制受影响的服务,导致系统沦陷。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-94**:代码注入缺陷。 ⚠️ **缺陷点**:未正确处理用户输入,导致恶意代码被服务器执行。
Q3影响谁?(版本/组件)
🏢 **厂商**:RasaHQ。 📦 **产品**:rasa-pro-security-advisories。 🤖 **组件**:Rasa 开源机器学习对话框架。
Q4黑客能干啥?(权限/数据)
👑 **权限**:远程执行代码(RCE),通常获得最高权限。 📂 **数据**:可窃取敏感对话数据、模型配置及服务器文件。
Q5利用门槛高吗?(认证/配置)
🚫 **认证**:无需认证(PR:N)。 🌐 **网络**:远程利用(AV:N)。 🧩 **复杂度**:较高(AC:H),需特定条件触发。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **PoC**:当前无公开利用代码(PoCs: [])。 🌍 **在野**:暂无在野利用报告。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查是否运行 Rasa 框架。 📡 **扫描**:监测针对 Rasa 接口的异常代码注入请求。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方**:已发布安全公告(2025-01-14)。 🔧 **修复**:请查阅 GitHub 安全公告链接获取补丁。
Q9没补丁咋办?(临时规避)
⏸️ **规避**:暂时限制 Rasa 服务暴露面。 🚧 **缓解**:严格过滤输入,禁用不必要的功能,直至补丁可用。
Q10急不急?(优先级建议)
⚡ **优先级**:高(CVSS 分数高,S:C/C:H/I:H/A:H)。 📢 **建议**:虽利用门槛高,但后果严重,建议立即评估并升级。