CVE-2026-32604 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Spinnaker 持续交付平台存在**任意命令执行**漏洞。 💥 **后果**：攻击者可在 `clouddriver` 组件中执行恶意代码，导致**凭据泄露**、**文件被删**或**资源被注入**，彻底破坏交付安全。

🔍 **CWE**：CWE-20（**输入验证不当**）。 📍 **缺陷点**：对输入数据的校验缺失，导致恶意指令被直接传入系统执行。

📦 **受影响组件**：Spinnaker 核心平台。 📅 **高危版本**： - 2026.1.0 之前 - 2026.0.1 之前 - 2025.4.2 之前 - 2025.3.2 之前

🔓 **权限提升**：获得 `clouddriver` Pod 的执行权限。 💾 **数据风险**：窃取云环境凭据，删除关键配置文件，注入恶意资源干扰业务发布。

⚠️ **门槛低**： - **网络**：远程利用 (AV:N) - **复杂度**：低 (AC:L) - **认证**：需要低权限认证 (PR:L) - **交互**：无需用户交互 (UI:N)

🚫 **无现成 Exp**：数据中 `pocs` 为空，暂无公开 PoC。 🌍 **在野利用**：未知，但鉴于 CVSS 评分极高，需警惕潜在利用。

🔎 **自查方法**： 1. 检查 Spinnaker 版本是否低于上述安全版本。 2. 审计 `clouddriver` 日志，排查异常命令执行记录。 3. 扫描输入点是否存在未过滤的特殊字符。

🛡️ **已修复**：官方已发布安全补丁。 🔗 **参考**：GitHub Security Advisory (GHSA-x3j7-7pgj-h87r) 及对应 Release 版本。

🛑 **临时规避**： - 限制 `clouddriver` 的网络访问策略。 - 收紧输入验证规则。 - 升级至最新稳定版是最优解。

🔥 **优先级：极高**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H (严重)。 💡 **建议**：立即升级，防止生产环境被控。