CVE-2026-24897 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径验证不足（目录穿越风险）。 💥 **后果**：低权限用户可上传任意文件，直接导致 **远程代码执行 (RCE)**。

🔍 **CWE**：CWE-22（路径遍历）。 📍 **缺陷点**：创建共享时，对用户提供的路径 **缺乏严格校验**，允许非法路径注入。

📦 **厂商**：ErugoOSS。 🏷️ **产品**：Erugo 文件共享平台。 ⚠️ **版本**：**0.2.14 及之前** 版本均受影响。

👮 **权限**：仅需 **低权限** 账号即可利用。 📂 **数据**：可写入任意位置，进而执行恶意代码，完全控制服务器。

🚪 **门槛**：**极低**。 🔑 **认证**：无需高权限，无需用户交互 (UI:N)。 🌐 **网络**：远程利用 (AV:N)，攻击复杂度低 (AC:L)。

🧪 **Exp**：数据中未提供现成 PoC (pocs: [])。 🌍 **在野**：暂无公开在野利用报告，但 CVSS 评分极高，风险极大。

🔎 **自查**：检查是否运行 Erugo 0.2.14 及以下版本。 📝 **日志**：监控文件上传接口，看是否有包含 `../` 等异常路径的请求。

🛡️ **补丁**：**已修复**。 📌 **版本**：升级至 **v0.2.15** 或更高版本。 🔗 **参考**：GitHub Commit 256bc63 及 GHSA 公告。

⏸️ **临时规避**：若无法升级，建议 **限制文件上传功能** 或 **严格白名单校验** 上传路径。 🚫 **隔离**：尽量将服务部署在隔离网络环境中。

🔥 **优先级**：**紧急 (Critical)**。 📊 **CVSS**：9.8 (极高)。 💡 **建议**：立即升级至 v0.2.15，RCE 漏洞不可拖延！