CVE-2025-49132 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Pterodactyl Panel 存在代码注入漏洞。 🔥 **后果**:攻击者无需认证即可执行**任意代码**,彻底接管面板。 💥 **影响**:服务器沦陷,数据泄露,权限完全丧失。
Q2根本原因?(CWE/缺陷点)
🛑 **CWE**:CWE-94 (代码注入)。 📍 **缺陷点**:`/locales/locale.json` 接口。 🐛 **原因**:未验证 `locale` 和 `namespace` 参数,导致恶意输入被直接执行。
Q3影响谁?(版本/组件)
🎮 **产品**:Pterodactyl Panel (翼龙面板)。 📦 **版本**:**1.11.11 之前**的所有版本 (如 1.9.0 - 1.11.10)。 🏷️ **厂商**:pterodactyl。
Q4黑客能干啥?(权限/数据)
👑 **权限**:无需登录,直接获得**最高权限** (RCE)。 💾 **数据**: - 读取 `.env` 配置文件中的数据库凭据。 - 提取数据库敏感信息。 - 访问所有托管的游戏服务器文件。
Q5利用门槛高吗?(认证/配置)
🚪 **认证**:**无需认证** (Unauthenticated)。 🌐 **网络**:远程利用 (AV:N)。 ⚡ **复杂度**:低 (AC:L),直接构造请求即可。
Q6有现成Exp吗?(PoC/在野利用)
🔧 **PoC**:已有多个现成脚本 (GitHub 上可搜 CVE-2025-49132)。 📜 **工具**:支持批量扫描、单点检测、自动提取 APP_KEY。 ⚠️ **状态**:公开可用,在野利用风险极高。
Q7怎么自查?(特征/扫描)
🔍 **特征**:访问 `/locales/locale.json?locale=..%2F..%2Fconfig&namespace=app`。 📊 **日志**:检查 Laravel 日志中的 `FileLoader->load()` 记录。 🛠️ **扫描**:使用 Nuclei 模板或专用 Python 脚本批量检测。
Q8官方修了吗?(补丁/缓解)
✅ **已修复**:官方已发布补丁。 📌 **版本**:升级至 **v1.11.11** 或更高版本。 🔗 **参考**:GitHub Security Advisory (GHSA-24wv-6c99-f843)。
Q9没补丁咋办?(临时规避)
🚫 **无临时规避**:官方明确表示**没有软件层面的临时修复方案**。 🛡️ **唯一解**:必须**立即升级**到 v1.11.11+。 🔒 **建议**:若无法立即升级,暂时断开公网访问或限制 IP。
Q10急不急?(优先级建议)
🔴 **优先级**:**CRITICAL (紧急)**。 ⚡ **理由**:无需认证 + 任意代码执行 + 数据全泄露。 🏃 **行动**:立即检查版本,若 <1.11.11,**马上升级**!