CVE-2026-28370 — 神龙十问 AI 深度分析摘要

🚨 **本质**：OpenStack Vitrage 查询解析器存在缺陷。 💥 **后果**：攻击者可利用该缺陷实现 **远程代码执行 (RCE)**，彻底接管系统。

🔍 **CWE**：CWE-95（代码注入）。 🛠 **缺陷点**：查询解析器在处理输入时未正确净化或验证，导致恶意代码被注入执行。

📦 **组件**：OpenStack Vitrage（分析引擎）。 📅 **受影响版本**： - 12.0.1 之前 - 13.0.0 之前 - 14.0.0 之前 - 15.0.0 之前

⚔️ **黑客能力**： - **完全控制**：CVSS 评分极高 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)。 - **权限**：以应用权限执行任意命令。 - **数据**：可窃取、篡改或删除所有关联数据。

🔐 **利用门槛**： - **网络**：远程 (AV:N)。 - **复杂度**：低 (AC:L)。 - **认证**：需要 **高权限认证 (PR:H)**。 - **用户交互**：无需用户操作 (UI:N)。 👉 **结论**：需合法高权账号，但利用极易。

📜 **Exp/PoC**：当前数据中 **无现成 PoC** (pocs: [])。 🌍 **在野利用**：暂无公开在野利用报告。 ⚠️ **注意**：代码路径已公开 (query.py#L70)，专家可快速编写 Exp。

🔎 **自查方法**： 1. 检查 Vitrage 版本是否在受影响列表中。 2. 审查 `vitrage/graph/query.py` 第 70 行附近的查询解析逻辑。 3. 监控异常的系统调用或 shell 执行日志。

🛡️ **官方修复**： - 需升级至 **12.0.1+**、**13.0.0+**、**14.0.0+** 或 **15.0.0+**。 - 参考修复链接：[Storyboard #2011539](https://storyboard.openstack.org/#!%2Fstory/2011539)。

🚧 **临时规避**： - **最小权限**：严格限制 Vitrage 服务账号权限，避免高权账号暴露。 - **网络隔离**：限制对 Vitrage API 的访问，仅允许可信 IP。 - **输入过滤**：在网关层对查询参数进行严格白名单过滤。

⚡ **优先级**：**紧急 (Critical)**。 - CVSS 满分风险 (C:H/I:H/A:H)。 - 远程可触发，无需用户交互。 - 建议 **立即升级** 或实施严格网络隔离。