CVE-2026-30860 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:WeKnora 框架存在 **SQL注入** 漏洞。 💥 **后果**:攻击者可利用数据库查询功能,在数据库服务器上执行 **任意代码**,导致系统完全沦陷。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-89 (SQL注入)。 📍 **缺陷点**:数据库查询功能未对输入进行严格过滤,导致恶意 SQL 语句被直接执行。
Q3影响谁?(版本/组件)
📦 **厂商**:Tencent (腾讯)。 🏷️ **产品**:WeKnora (基于LLM的RAG框架)。 ⚠️ **受影响版本**:**0.2.12之前**的所有版本。
Q4黑客能干啥?(权限/数据)
👑 **权限**:获得数据库服务器的高权限。 📊 **数据**:可读取、修改或删除所有敏感数据。 💻 **执行**:能在数据库层执行 **任意命令**,风险极高。
Q5利用门槛高吗?(认证/配置)
🔑 **认证**:需要 **低权限 (PR:L)** 即可利用。 🌐 **网络**:远程 (AV:N) 攻击。 🎯 **复杂度**:低 (AC:L),无需用户交互 (UI:N)。 📉 **总结**:利用门槛 **较低**,远程攻击者易上手。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中未提供现成 PoC。 🌍 **在野**:暂无在野利用报告。 🔗 **参考**:详见 GitHub 安全公告 [GHSA-8w32-6mrw-q5wv](https://github.com/Tencent/WeKnora/security/advisories/GHSA-8w32-6mrw-q5wv)。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 WeKnora 版本是否 < 0.2.12。 🛠️ **扫描**:使用 SQL 注入扫描器检测数据库查询接口。 📝 **代码审计**:重点审查涉及 RAG 语义检索和文档理解的数据库查询逻辑。
Q8官方修了吗?(补丁/缓解)
🛡️ **修复**:官方已发布安全公告。 ✅ **方案**:升级至 **0.2.12 或更高版本** 即可修复此漏洞。 📅 **发布时间**:2026-03-07。
Q9没补丁咋办?(临时规避)
⏸️ **临时规避**:若无法立即升级,建议限制数据库网络访问权限。 🚫 **隔离**:将数据库服务器置于内网,禁止直接暴露给外部网络。 🔒 **最小权限**:确保应用连接数据库的账号权限最小化。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 📈 **CVSS**:9.8 (极高危)。 ⚡ **建议**:立即升级版本!SQL注入+远程代码执行是高危组合,务必优先处理。