CVE-2025-24786 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WhoDB 存在**路径遍历**漏洞。 💥 **后果**：攻击者可读取服务器上的任意 **Sqlite3** 数据库文件，导致严重数据泄露。

🔍 **CWE**：CWE-35 (路径遍历)。 🐛 **缺陷**：打开数据库文件时**缺乏验证**，未防止非法路径输入。

📦 **厂商**：clidey。 📌 **产品**：WhoDB (开源数据浏览器)。 ⚠️ **版本**：**0.45.0 及之前**版本均受影响。

👁️ **权限**：无需认证，**未授权**访问。 📂 **数据**：可打开运行主机上的**任何** Sqlite3 数据库，读取敏感数据。

📉 **门槛**：**极低**。 ✅ **条件**：无需身份验证 (PR:N)，攻击复杂度低 (AC:L)，无需用户交互 (UI:N)。

🧪 **PoC**：有现成模板。 🔗 **来源**：ProjectDiscovery Nuclei 模板已发布，可直接用于扫描检测。

🔎 **自查**：检查 WhoDB 版本是否 ≤ 0.45.0。 🛠️ **工具**：使用 Nuclei 模板 `CVE-2025-24786.yaml` 进行自动化扫描。

🛡️ **修复**：官方已发布安全公告 (GHSA-9r4c-jwx3-3j76)。 📝 **建议**：升级至修复后的最新版本，或参考 GitHub 提交记录查看具体修复代码。

🚧 **临时规避**：若无补丁，需严格限制 WhoDB 服务访问权限。 🔒 **措施**：配置防火墙仅允许信任 IP 访问，或禁止直接操作数据库文件名输入。

⚡ **优先级**：**高**。 📈 **理由**：CVSS 评分高 (C:H/I:H)，无需认证即可利用，直接威胁数据完整性与机密性，需立即关注。