CVE-2026-26009 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Catalyst 框架存在 **OS 命令注入** 漏洞。 💥 **后果**：攻击者可利用模板中的安装脚本，以 **root 权限** 直接在主机执行任意命令，导致 **远程代码执行 (RCE)**。

🔍 **CWE**：CWE-78 (OS 命令注入)。 📍 **缺陷点**：服务器模板中定义的 **安装脚本** 未做安全过滤，直接交由操作系统执行。

📦 **厂商**：karutoil。 🛠️ **产品**：Catalyst Web 应用程序框架。 ⚠️ **范围**：受影响版本需参考官方公告，核心风险在于拥有 **模板创建或更新权限** 的用户。

👑 **权限**：以 **root** 身份运行。 📂 **数据**：完全控制主机操作系统，可窃取数据、植入后门或横向移动。 🌐 **范围**：S:C (影响范围扩大)，危害极高。

🔑 **认证**：需要 **低权限 (PR:L)** 认证。 🎯 **门槛**：只需拥有 **模板创建或更新权限** 即可触发，无需 UI 交互 (UI:N)，利用难度 **低 (AC:L)**。

📜 **PoC**：当前漏洞库中 **暂无** 公开 PoC (pocs: [])。 🌍 **在野**：暂无在野利用报告，但风险极高，需警惕。

🔎 **自查**：检查 Catalyst 模板中是否包含 **未过滤的安装脚本** 或系统调用。 📡 **扫描**：关注模板编辑接口，监控是否有异常的系统命令注入特征。

🛡️ **补丁**：官方已发布安全公告 (GHSA-xv5r-cpcw-8wr3) 及修复提交 (commit 11980aaf...)。 ✅ **建议**：立即升级至修复版本或应用官方提供的缓解措施。

⚠️ **临时规避**：若无补丁，需严格限制 **模板创建/更新权限**。 🚫 **隔离**：禁止普通用户修改包含系统执行的模板，或禁用相关安装脚本功能。

🔥 **优先级**：**紧急 (Critical)**。 📉 **CVSS**：9.8 (极高)。 🚀 **行动**：鉴于以 root 执行且利用门槛低，建议 **立即修复**，不要等待。