CVE-2026-22783 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Iris 框架的 datastore 文件管理存在**批量分配漏洞**，且删除操作**信任路径**。 💥 **后果**：经过身份验证的用户可**删除任意文件系统路径**，导致服务不可用或数据丢失。

🔍 **CWE**：CWE-434 (Unrestricted Upload of File with Dangerous Type / Unrestricted Path Traversal 相关)。 🛠 **缺陷点**：**批量分配漏洞** + **路径信任缺失**。未对删除目标路径进行严格校验，导致路径遍历或越权删除。

🎯 **厂商**：dfir-iris。 📦 **产品**：iris-web。 📉 **版本**：**Iris 2.4.24 之前**的所有版本均受影响。

🕵️ **黑客能力**： 1. **删除任意文件**：利用路径信任漏洞，删除服务器关键文件。 2. **拒绝服务 (DoS)**：通过删除核心组件或数据，瘫痪系统。 3. **权限维持**：若删除安全策略文件，可能降低后续攻击门槛。 ⚠️ **注意**：仅影响 **I (完整性)** 和 **A (可用性)**，不直接窃取数据 (C:N)。

🔑 **门槛**：**中等**。 ✅ **需要认证**：必须是**经过身份验证的用户**。 🌐 **网络**：远程可利用 (AV:N)。 🎯 **复杂度**：低 (AC:L)，无需用户交互 (UI:N)。

📜 **PoC**：漏洞数据中 **pocs 为空**，暂无公开代码级 PoC。 🌍 **在野利用**：未知。但鉴于 CVSS 分数高且利用简单，需警惕潜在利用。

🔎 **自查方法**： 1. **版本检查**：确认 Iris 版本是否 < 2.4.24。 2. **路径校验**：检查代码中文件删除逻辑是否对 `path` 参数做了**绝对路径转换**和**前缀白名单校验**。 3. **权限审计**：检查 datastore 目录的访问控制列表 (ACL)。

🛡️ **官方修复**： ✅ **已修复**。参考 GitHub Commit `57c1b80494bac187893aebc6d9df1ce6e56485b7` 和安全公告 `GHSA-qhqj-8qw6-wp8v`。 💡 **建议**：立即升级至 **2.4.24 或更高版本**。

⚠️ **临时规避**： 1. **最小权限**：确保运行 Iris 的服务账户**无文件删除权限**。 2. **网络隔离**：限制对文件管理接口的访问。 3. **输入过滤**：在 WAF 或网关层拦截包含 `../` 或异常路径的请求。 4. **监控**：监控文件系统异常删除行为。

🚨 **优先级**：**高 (Critical)**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H。 💡 **理由**：虽然不需要特权账户，但**远程、低复杂度**即可导致**高完整性/可用性破坏**。对于 DFIR 工具而言，数据完整性至关重要，建议**立即修复**。