CVE-2026-21861 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:baserCMS 核心更新功能存在 **OS 命令注入**。 💥 **后果**:攻击者可执行任意操作系统命令,彻底接管服务器。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-78 (OS Command Injection)。 📍 **缺陷点**:核心更新模块未正确过滤用户输入,导致恶意命令被执行。
Q3影响谁?(版本/组件)
📦 **产品**:baserCMS (baserproject)。 📅 **版本**:**5.2.3 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
👑 **权限**:获得 **Root/System** 级别权限。 📂 **数据**:可读取、修改、删除服务器任意文件,甚至控制整个内网。
Q5利用门槛高吗?(认证/配置)
🔐 **门槛**:需 **身份验证** (PR:H)。 👤 **角色**:必须是 **管理员** 账号才能触发此漏洞。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp**:目前 **无公开 PoC** (pocs 为空)。 🌍 **在野**:暂无在野利用报告,但风险极高。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 CMS 版本是否 < 5.2.3。 📡 **扫描**:使用 WAF 或漏洞扫描器检测 OS 注入特征。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:已发布修复。 📥 **行动**:立即升级至 **baserCMS 5.2.3** 或更高版本。
Q9没补丁咋办?(临时规避)
⚠️ **临时**:若无补丁,限制管理员访问 IP。 🚫 **隔离**:断开核心更新模块的网络连接或禁用该功能。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 📉 **CVSS**:9.8 分 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)。 💡 **建议**:管理员需立即升级,切勿拖延!