CVE-2025-11849 — 神龙十问 AI 深度分析摘要
CVSS 9.3 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Mammoth 在处理 docx 文件时,**缺少路径或文件类型验证**。 💥 **后果**:直接导致 **目录遍历攻击** 或 **资源过度消耗**(DoS),系统稳定性与数据安全受威胁。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE ID**:**CWE-22**(路径遍历)。 📍 **缺陷点**:代码未对输入的文件路径进行严格校验,允许非法字符或相对路径突破安全边界。
Q3影响谁?(版本/组件)
📦 **组件**:**Mammoth**(Word转HTML工具)。 📅 **受影响版本**:**0.3.25** 及 **1.11.0 之前**的所有版本。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: 1. **读取敏感文件**:通过目录遍历访问服务器任意文件(C:H)。 2. **拒绝服务**:利用资源消耗导致服务瘫痪(A:H)。 3. **权限**:无需认证(PR:N),利用率高。
Q5利用门槛高吗?(认证/配置)
🚪 **利用门槛**:**低**。 🔑 **条件**: - **无需认证**(PR:N)。 - **攻击向量**:网络(AV:N)。 - **复杂度**:低(AC:L)。 - **前提**:需用户交互触发(UI:R),如上传恶意 docx。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp/PoC**:数据中 **pocs 为空**。 🔗 **参考**:有 GitHub 修复提交和 Snyk 报告,但暂无公开在野利用或现成一键 Exp。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查项目依赖中 Mammoth 版本是否 **< 1.11.0** 或 **< 0.3.25**。 2. 扫描代码中是否直接拼接用户输入的 docx 路径。 3. 使用 Snyk 或 GitHub 安全警报检测依赖风险。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:**已修复**。 📝 **依据**:GitHub 仓库已有修复提交(commit c54aaeb),Snyk 已发布安全公告。建议升级至 **1.11.0 或更高版本**。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**: 1. **严格限制上传**:仅允许特定后缀,并在服务端重命名文件。 2. **沙箱运行**:在隔离环境中处理 docx 文件。 3. **路径净化**:手动实现路径遍历检查逻辑(不推荐,易出错)。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 📊 **CVSS**:**9.8**(Critical)。 💡 **建议**:立即升级依赖!由于无需认证且影响严重(高机密性+高可用性),应作为 **紧急任务** 处理。