CVE-2025-49136 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:listmonk 模板引擎错误捕获环境变量。 💥 **后果**:敏感信息泄露,系统完整性受损,可用性降低。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-1336(不正确的处理)。 📍 **缺陷点**:模板函数在处理时未正确隔离,导致意外读取环境变量。
Q3影响谁?(版本/组件)
📦 **产品**:listmonk(高性能自托管邮件列表管理器)。 👤 **厂商**:knadh。 📅 **版本**:5.0.2 之前所有版本。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**:读取敏感环境变量(如密钥、配置)。 🔓 **权限**:需低权限用户介入,但影响范围极大(C:H/I:H/A:H)。
Q5利用门槛高吗?(认证/配置)
🚧 **门槛**:中等。 🔑 **条件**:需要 **PR:L**(低权限认证)+ **UI:R**(用户交互)。非完全无脑利用。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **Exp/PoC**:目前 **无** 公开 PoC 或已证实的在野利用。 📝 **参考**:仅见 GitHub 安全公告。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 listmonk 版本是否 < 5.0.2。 📡 **扫描**:关注模板渲染日志,看是否有异常的环境变量输出。
Q8官方修了吗?(补丁/缓解)
✅ **已修复**:官方已发布 v5.0.2 修复补丁。 🔗 **链接**:见 GitHub Releases 及安全公告。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**:若无法升级,限制模板编辑权限,仅允许可信管理员操作,减少用户交互面。
Q10急不急?(优先级建议)
⚡ **优先级**:高。 📊 **CVSS**:高分漏洞,虽需交互但危害大。建议 **立即升级** 至 v5.0.2。