CVE-2026-24467 — 神龙十问 AI 深度分析摘要

🚨 **本质**：密码重置令牌**无过期时间**且**长度仅8位**。 💥 **后果**：攻击者可暴力破解令牌，**接管任意用户账户**，导致完全失陷。

🛡️ **CWE-640**：改进的口令取回机制中的弱口令策略。 🔍 **缺陷点**：令牌生成逻辑缺陷，缺乏**时效性控制**和**足够的熵值**。

📦 **产品**：OpenAEV (个人计划平台)。 📅 **版本**：1.0.0 至 **2.0.13之前**的所有版本。

🔓 **权限**：无需认证（**PR:N**），远程即可利用。 📊 **数据**：可重置**任何注册用户**密码，实现**账户接管**，危害极高。

⚡ **门槛**：中等（**AC:H**）。 🔑 **条件**：无需登录，但需进行**暴力破解**（8位字符组合较多，需一定时间/算力）。

🚫 **Exp/PoC**：当前**无公开**现成Exp。 📝 **状态**：暂无在野利用报告，但原理简单，**PoC极易编写**。

🔍 **自查**：检查重置接口返回的Token长度是否为**8位**。 ⏱️ **验证**：测试Token是否**永久有效**（不随时间失效）。

✅ **已修复**：官方在 **v2.0.13** 版本中修复。 🔗 **参考**：见 GitHub Release 2.0.13 及 Commit c09a4e7。

🛡️ **临时规避**：升级至 **v2.0.13+**。 ⚠️ **若无法升级**：强制实施**令牌过期策略**，增加令牌**长度/复杂度**，或限制重置频率。

🔥 **优先级**：**高**。 📉 **CVSS**：H (高危)。 💡 **建议**：立即升级，防止**账户接管**风险，尤其是涉及敏感个人计划数据。