CVE-2026-0963 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞 (Path Traversal)。 💥 **后果**：攻击者可篡改服务器文件，甚至实现 **远程代码执行 (RCE)**，彻底接管 Minecraft 服务器面板。

🔍 **CWE**：CWE-22 (路径遍历)。 📍 **缺陷点**：`File Operations API Endpoint` 组件存在 **输入验证缺失**，未对用户提供的文件路径进行严格过滤。

🎯 **受影响产品**：Crafty Controller (Arcadia 出品的 Minecraft 服务器控制面板/启动器)。 🏢 **厂商**：Arcadia Technology, LLC。

🕵️ **黑客能力**： 1. **文件篡改**：读取或修改服务器任意文件。 2. **RCE**：通过恶意文件上传或配置注入，执行任意系统命令。 3. **权限提升**：利用服务器权限进行后续攻击。

🔑 **利用门槛**：中等。 ⚠️ **前提条件**：攻击者需要 **经过身份验证 (Authenticated)** 的账号权限。 🌐 **网络访问**：远程 (AV:N) 且无需用户交互 (UI:N)。

📦 **Exp/PoC**：目前 **暂无公开 PoC** (pocs 字段为空)。 🌍 **在野利用**：数据未显示已有在野利用案例，但风险极高，需警惕。

🔎 **自查方法**： 1. 检查 Crafty Controller 版本是否受影响。 2. 审计 `File Operations API` 接口的输入处理逻辑。 3. 监控服务器日志中异常的 `../` 路径请求。

🛠️ **官方修复**： 📅 **发布时间**：2026-01-30。 🔗 **参考**：GitLab Issue #660 已记录该问题。 ✅ **建议**：立即检查官方仓库或更新到修复版本。

🛡️ **临时规避**： 1. **最小权限原则**：限制面板账号权限。 2. **WAF 防护**：拦截包含 `../` 或特殊字符的 API 请求。 3. **网络隔离**：限制面板对公网暴露，仅内网访问。

⚡ **优先级**：**高 (Critical)**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L。 💡 **建议**：虽然需要认证，但 **C:H (机密性高)** 和 **I:H (完整性高)** 表明危害极大，建议 **立即修复** 或实施严格缓解措施。