CVE-2026-1731 — 神龙十问 AI 深度分析摘要

🚨 **本质**：远程代码执行 (RCE) 漏洞。 💥 **后果**：攻击者可完全控制服务器，导致数据泄露或系统瘫痪。 📌 **核心**：通过 WebSocket 注入 OS 命令。

🔍 **CWE**：CWE-78 (OS 命令注入)。 🐛 **缺陷**：WebSocket 端点 `/nw` 存在不安全的 Bash 算术评估。 ⚠️ **关键点**：未对输入进行充分 sanitization。

🏢 **厂商**：BeyondTrust。 📦 **产品**： - Remote Support (RS) - Privileged Remote Access (PRA) 💻 **平台**：Windows, Mac, Linux, iOS 等。

👑 **权限**：服务器端最高权限 (Root/System)。 📂 **数据**：可窃取敏感配置、公司标识符。 🛠️ **操作**：执行任意系统命令，接管整个环境。

🔓 **认证**：**无需认证** (Unauthenticated)。 🌐 **入口**： 1. 从 `/get_mech_list` 提取公司 ID。 2. 连接 WebSocket `/nw`。 3. 注入二进制载荷。 📉 **门槛**：极低，远程即可触发。

💻 **PoC**：GitHub 上已有多个 PoC 和扫描器。 🔗 **资源**： - nuclei-templates 模板 - 专用扫描器 (cve-2026-1731-scanner) 🔥 **状态**：利用代码已公开，风险极高。

🔎 **检测**： - 扫描 WebSocket 端点 `/nw`。 - 检查 `/get_mech_list` 响应。 - 使用 Nuclei 模板扫描。 📊 **特征**：针对 BeyondTrust RS/PRA 的特定二进制 WebSocket 交互。

🛡️ **官方**：BeyondTrust 已发布安全公告 (BT26-02)。 📅 **时间**：2026-02-06 公布。 🔧 **建议**：立即查阅 KB0023293 获取补丁信息。

🚧 **临时方案**： - 限制 `/nw` 和 `/get_mech_list` 的网络访问。 - 启用 WAF 规则拦截异常 WebSocket 载荷。 - 隔离受影响服务器，禁止公网暴露。

🔥 **优先级**：**紧急 (CVSS 9.9)**。 ⚡ **行动**：立即修补或隔离。 📢 **警告**：无认证即可利用，属于高危 RCE，需优先处理。