CVE-2026-27699 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Basic FTP 库存在**路径遍历**缺陷。 💥 **后果**:恶意 FTP 服务器可操控文件名,导致客户端将文件**写入非预期目录**,破坏文件完整性。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-22 (路径遍历)。 📍 **缺陷点**:`downloadToDir()` 方法未严格校验服务器返回的文件名中的 `../` 等序列。
Q3影响谁?(版本/组件)
📦 **组件**:`basic-ftp` (Node.js FTP 客户端)。 👤 **厂商**:Patrick Juchli。 📉 **版本**:**5.2.0 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:无需认证,攻击者控制 FTP 服务端即可。 📂 **数据**:可**任意写入**本地文件系统,可能导致**代码执行**或**配置篡改**(CVSS I:H, A:H)。
Q5利用门槛高吗?(认证/配置)
📶 **门槛**:**极低**。 🔑 **条件**:无需本地认证,无需用户交互 (UI:N)。 ⚙️ **配置**:只需连接恶意或已被劫持的 FTP 服务器即可触发。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **PoC**:漏洞数据中 `pocs` 字段为空,暂无公开现成 Exp。 🌍 **在野**:目前未见大规模在野利用报告,但风险极高。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 Node.js 项目中 `package.json`。 📊 **扫描**:查找依赖 `basic-ftp` 且版本 `< 5.2.0` 的模块。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:**已修复**。 📅 **时间**:2026-02-25 发布。 ✅ **方案**:升级至 **v5.2.0** 或更高版本。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**: 1. **升级**库版本。 2. 若无法升级,**避免连接不可信**的 FTP 服务器。 3. 在应用层对下载路径进行**二次白名单校验**。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 💡 **理由**:CVSS 评分高 (I:H, A:H),利用简单 (AC:L, PR:N),且涉及文件写入,极易引发连锁安全事件。建议**立即升级**。