CVE-2026-27897 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Vociferous 语音转文字工具的**访问控制错误**。 📉 **后果**：攻击者可利用**目录遍历**写入任意文件，导致**数据泄露**或**系统被控**，危害极高。

🔍 **CWE**：CWE-22 (路径遍历)。 🐛 **缺陷点**：`src/api/system.py` 中的 `export_file` 路由**未验证文件名**，且 **CORS 配置过于宽松**，缺乏必要的身份验证。

📦 **产品**：Vociferous (跨平台离线语音转文字工具)。 👤 **开发者**：Andrew Brown (WanderingAstronomer)。 ⚠️ **版本**：**4.4.2 之前**的所有版本均受影响。

💀 **黑客能力**： 1. **任意文件写入**：通过目录遍历序列，将恶意数据写入服务器任意位置。 2. **权限提升**：可能覆盖关键配置文件或执行代码。 3. **数据破坏**：导致服务不可用或数据完整性受损。

📶 **利用门槛**：**极低**。 🔓 **认证**：无需认证 (PR:N)。 🌐 **网络**：远程利用 (AV:N)。 🎯 **复杂度**：低复杂度 (AC:L)。 👀 **交互**：无需用户交互 (UI:N)。

🧪 **Exp/PoC**：目前**暂无公开**的现成 Exp 或 PoC (pocs 列表为空)。 🌍 **在野利用**：暂无在野利用报告，但鉴于 CVSS 分数极高，需警惕潜在利用。

🔎 **自查方法**： 1. 检查 Vociferous 版本是否 **< 4.4.2**。 2. 审查 `src/api/system.py` 中 `export_file` 接口是否对文件名进行** sanitization (清洗)**。 3. 检查 API 的 **CORS 配置**是否限制了来源。

🛡️ **官方修复**：已发布安全公告 (GHSA-7cpr-frgj-h85v)。 ✅ **建议**：立即升级至 **4.4.2 或更高版本**以修复此漏洞。

⏳ **临时规避**： 1. **禁用** `export_file` API 端点。 2. 在 Web 服务器/反向代理层**严格限制**对该接口的访问。 3. 实施严格的 **CORS 策略**，仅允许可信来源。

🔥 **优先级**：**紧急 (Critical)**。 📊 **CVSS**：**9.8** (极高)。 💡 **建议**：由于无需认证且影响完整性/可用性/机密性，建议**立即**升级或应用缓解措施。