CVE-2025-54418 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:CodeIgniter 4.6.2 前版本存在 **OS 命令注入** 漏洞。 💥 **后果**:攻击者通过 **ImageMagick** 处理用户控制的文件名或文本,执行任意系统命令。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-78 (OS Command Injection)。 📍 **缺陷点**:框架在处理图片时,未对 **ImageMagick** 接收的用户输入(文件名/文本)进行严格过滤,导致恶意命令注入。
Q3影响谁?(版本/组件)
🎯 **受影响**:**CodeIgniter 4** 框架。 📦 **版本**:**4.6.2 之前**的所有版本。 🏢 **厂商**:CodeIgniter 官方。
Q4黑客能干啥?(权限/数据)
👑 **权限**:可获取 **Web 服务器进程权限**。 📂 **数据**:完全控制服务器文件系统,读取/修改/删除任意数据,甚至建立持久化后门。
Q5利用门槛高吗?(认证/配置)
📉 **门槛**:**极低**。 🔓 **认证**:**无需认证** (PR:N)。 🌐 **网络**:**远程** (AV:N)。 ⚙️ **复杂度**:**低** (AC:L),无需用户交互 (UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中 **pocs 为空**,暂无公开现成 Exp。 🌍 **在野**:暂无在野利用报告。 🔗 **参考**:详见 GitHub 安全公告 GHSA-9952-gv64-x94c。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查项目是否使用 **CodeIgniter 4** 且版本 **< 4.6.2**。 🖼️ **特征**:重点审查代码中调用 **ImageMagick** 或相关图像处理库时,是否直接拼接了 **用户输入** 作为文件名或参数。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:官方已发布修复。 📅 **时间**:2025-07-28 公布。 🔗 **链接**:GitHub Commit e18120bff1da691e1d15ffc1bf553ae7411762c0。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. **升级**:立即升级至 **4.6.2 或更高版本**。 2. **输入过滤**:若无法升级,严格过滤传入 ImageMagick 的 **文件名和文本**,禁用危险字符。 3. **最小权限**:限制 Web 进程的系统命令执行权限。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急**。 📊 **CVSS**:**9.8** (Critical)。 ⚠️ **建议**:由于无需认证且影响全面,建议 **立即修复**,防止服务器被完全接管。