CVE-2024-6781 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞（Path Traversal） 📉 **后果**：攻击者可读取服务器上的**任意文件**，导致敏感信息泄露。

🔍 **CWE ID**：CWE-22（路径遍历） 📍 **缺陷点**：Calibre 内容服务器未正确验证用户输入的文件路径，导致越权访问。

📦 **受影响产品**：Calibre（电子书管理工具） 📅 **受影响版本**：**7.14.0 及之前版本**。

🕵️ **黑客能力**：实现**任意文件读取**。 📂 **数据风险**：可窃取服务器本地文件，造成**高机密性**损失（CVSS C:H）。

🔓 **利用门槛**：**极低**。 ✅ **无需认证**（PR:N） ✅ **无需用户交互**（UI:N） ✅ **攻击复杂度低**（AC:L）。

💻 **PoC 状态**：已有现成利用代码。 🔗 参考 Nuclei 模板：`CVE-2024-6781.yaml`，可快速自动化检测。

🔎 **自查方法**： 1. 检查 Calibre 版本是否 ≤ 7.14.0。 2. 扫描是否开启**内容服务器**功能。 3. 使用 Nuclei 模板进行自动化扫描。

🛡️ **官方修复**：已发布补丁。 🔗 参考 GitHub 提交记录：`bcd0ab12c41a887f8290a9b56e46c3a29038d9c4`。 ⚠️ 建议立即升级至最新版本。

🚧 **临时规避**： 1. **关闭** Calibre 的**内容服务器**功能（如果不使用）。 2. 限制内容服务器端口仅限**内网**访问。 3. 配置防火墙规则，阻断外部对内容服务器端口的访问。

🔥 **优先级**：**高**。 ⚡ **理由**：无需认证、远程可利用、CVSS 评分高（C:H）。建议**立即**升级或采取缓解措施。