CVE-2025-43858 — 神龙十问 AI 深度分析摘要
CVSS 9.2 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:参数转换不安全导致 **命令注入**。后果:攻击者可执行任意系统命令,彻底接管服务器。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-77**:命令注入。缺陷点在于对输入参数的处理缺乏严格校验,导致恶意代码被当作系统指令执行。
Q3影响谁?(版本/组件)
🛡️ **受影响**:Bluegrams **YoutubeDLSharp** 库。版本范围:**1.0.0-beta4** 至 **1.1.2之前**(不含1.1.2)。
Q4黑客能干啥?(权限/数据)
💀 **黑客能力**:拥有 **高机密性/高完整性** 破坏力,且影响范围扩大(S:C)。可读取敏感数据、篡改系统文件,甚至控制整个环境。
Q5利用门槛高吗?(认证/配置)
⚠️ **门槛**:**本地访问**(AV:L),无需认证(PR:N),无需用户交互(UI:N)。虽然需本地权限,但利用条件极低,AC:L。
Q6有现成Exp吗?(PoC/在野利用)
📦 **Exp现状**:官方披露中未提及公开 **PoC** 或 **在野利用**。目前处于理论高危状态,需警惕后续爆发。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**:检查项目中引用的 **YoutubeDLSharp** NuGet包版本。若版本 < 1.1.2,即存在风险。扫描代码中是否直接拼接用户输入到命令参数。
Q8官方修了吗?(补丁/缓解)
✅ **修复状态**:官方已发布安全公告(GHSA-2jh5-g5ch-43q5)并提交了修复代码(Commit b605137...)。请升级至 **1.1.2或更高版本**。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:若无法升级,严禁将 **不可信输入** 直接传递给库的参数。务必在应用层进行严格的 **白名单过滤** 和 **转义处理**。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。CVSS评分高(H/C,H/I),且为本地提权/注入类漏洞。建议 **立即** 升级依赖库,消除命令注入隐患。