CVE-2026-31886 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞 (Path Traversal)。 💥 **后果**：攻击者可利用 **任意文件删除** 功能，直接导致 **拒绝服务 (DoS)**，系统可用性归零。

🔍 **CWE**：CWE-22 (路径遍历)。 🐛 **缺陷点**：`dagRunId` 请求字段 **未经格式验证**，直接传入 `filepath.Join`，导致恶意路径拼接。

📦 **组件**：dagu (Dagu Workflow Engine)。 🏢 **厂商**：dagu-org。 📉 **版本**：**2.2.4 之前**的所有版本均受影响。

🕵️ **黑客能力**： 1. **任意文件删除**：可删除关键系统文件或配置文件。 2. **拒绝服务**：通过删除核心文件使工作流引擎瘫痪。 3. **权限**：需具备一定访问权限（见Q5），非完全匿名。

🔑 **利用门槛**：**中等**。 🛡️ **前置条件**：需要 **低权限认证 (PR:L)**。 🌐 **网络**：网络可达 (AV:N)。 ⚡ **复杂度**：低 (AC:L)，无需用户交互 (UI:N)。

📜 **Exp/PoC**：当前数据集中 **无现成 PoC**。 🌍 **在野利用**：暂无公开在野利用报告。 🔗 **参考**：官方安全公告已发布，建议关注 GitHub 动态。

🔎 **自查方法**： 1. 检查 `dagRunId` 参数是否包含 `../` 等遍历字符。 2. 扫描请求中是否直接拼接路径而未做白名单校验。 3. 使用支持路径遍历检测的 **DAST 工具** 扫描 dagu 接口。

🛠️ **官方修复**：**已修复**。 📅 **发布时间**：2026-03-13。 🔗 **补丁链接**：GitHub Commit `12c2e53` 及安全公告 GHSA-m4q3-457p-hh2x。

⚠️ **临时规避**： 1. **升级**：立即升级至 **2.2.4 或更高版本**。 2. **WAF**：配置 WAF 规则，拦截包含 `../` 或异常路径字符的 `dagRunId` 请求。 3. **权限**：限制 dagu 服务运行账户的文件删除权限。

🚨 **优先级**：**高 (Critical)**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:H。 💡 **理由**：虽然需要低权限，但 **A:H (高可用性影响)** 且 **S:C (影响范围扩大)**，任意文件删除可导致服务彻底瘫痪，需紧急处理。