CVE-2025-32931 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Voyager 后台存在 **任意命令执行 (RCE)** 漏洞。 💥 **后果**：攻击者可完全控制服务器，导致 **数据泄露**、**服务器沦陷** 或 **内网横向移动**。

🔍 **CWE-88**：命令注入。 📍 **缺陷点**：`php artisan` 命令处理逻辑不严谨，未对输入进行充分过滤，导致恶意参数被直接拼接执行。

📦 **产品**：DevDojo Voyager。 📅 **版本**：**1.4.0** 至 **1.8.0**。 👤 **开发者**：David Borland。

👑 **权限**：需 **管理员认证**。 💾 **能力**：执行 **任意 OS 命令**。 📉 **影响**：可读取敏感文件、植入 Webshell、控制整个操作系统。

🔐 **门槛**：中等。 ✅ **前提**：必须拥有 **管理员账号** 并登录。 ⚙️ **配置**：需能访问 Compass 或相关命令执行界面。

📄 **PoC**：GitHub 上有相关 Issue 报告链接。 🌍 **在野**：数据未显示广泛在野利用，但 **Exp 逻辑已公开**，风险极高。

🔎 **自查**：检查 Voyager 版本是否在 **1.4.0-1.8.0** 之间。 📂 **文件**：查看 `resources/views/compass/includes/commands.blade.php` 是否存在命令拼接逻辑。

🛡️ **补丁**：官方已发布安全公告。 ✅ **建议**：立即升级至 **最新安全版本**（1.8.0 以上或最新稳定版）。

⚠️ **临时规避**： 1. **禁用** Compass 或命令执行功能。 2. **严格限制** 管理员账号权限。 3. 配置 **WAF** 拦截 `php artisan` 相关恶意请求。

🔥 **优先级**：**高 (Critical)**。 💡 **建议**：CVSS 评分极高，一旦管理员账号泄露，服务器即刻失守。请 **立即修复**！