CVE-2026-33707 — 神龙十问 AI 深度分析摘要
CVSS 9.4 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Chamilo LMS 密码重置令牌生成逻辑存在严重缺陷。 💥 **后果**:攻击者可轻易预测重置令牌,**接管受害者账户**,完全控制账号权限。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-640**:弱口令/弱令牌生成。 🛠 **缺陷点**:重置令牌仅由 `sha1($email)` 生成,**无随机数**、**无过期时间**、**无速率限制**。
Q3影响谁?(版本/组件)
📦 **产品**:Chamilo LMS(开源在线学习系统)。 📅 **版本**:1.11.38 之前版本,以及 2.0.0-RC.3 之前版本。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:从“无权限”提升至“管理员/用户”权限。 📂 **数据**:可**修改受害者密码**,进而访问所有个人数据、课程内容及协作信息。
Q5利用门槛高吗?(认证/配置)
📉 **门槛极低**。 ✅ **无需认证**:攻击者无需登录。 ✅ **无需交互**:只需知道目标用户的**电子邮件地址**即可计算令牌。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **无现成Exp**:当前 PoC 列表为空。 🌍 **在野利用**:暂无公开在野利用报告,但利用逻辑简单,极易编写脚本。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**:检查是否运行受影响版本。 📝 **特征**:查看密码重置接口,若令牌生成逻辑依赖邮箱哈希且无随机盐值,则高危。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方已修复**:GitHub 已发布安全公告 (GHSA-f27g-66gq-g7v2) 及修复提交。 🔄 **建议**:立即升级至最新稳定版本。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. 强制启用**复杂随机令牌**机制。 2. 设置令牌**短有效期**。 3. 添加**速率限制**防止暴力破解。 4. 暂时禁用公共密码重置功能。
Q10急不急?(优先级建议)
🔥 **优先级:高**。 ⚠️ **理由**:CVSS 评分高(C:H/I:H),利用条件极简(仅需邮箱),直接导致账户接管。建议**立即修补**。