CVE-2026-34758 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:OneUptime 存在**访问控制错误**。 💥 **后果**:未授权用户可滥用通知渠道(短信/电话/邮件/WhatsApp)及购买电话号码,导致**资源滥用**和**潜在资金损失**。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-306(缺少身份验证)。 📍 **缺陷点**:**通知测试**和**电话号码管理**端点未实施有效的访问控制检查。
Q3影响谁?(版本/组件)
🎯 **产品**:OneUptime。 📦 **版本**:**10.0.42 之前**的所有版本。 🏢 **厂商**:OneUptime。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: 1. 发送**短信/电话/邮件/WhatsApp**通知。 2. **购买电话号码**。 3. 无需登录即可操作,造成**计费欺诈**或**骚扰**。
Q5利用门槛高吗?(认证/配置)
📉 **门槛**:**极低**。 🔓 **认证**:**无需身份验证**(PR:N)。 🌐 **网络**:远程利用(AV:N)。 ⚡ **复杂度**:低(AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
📄 **Exp**:数据中 **PoCs 为空**。 🌍 **在野**:暂无公开在野利用报告。 ⚠️ 但鉴于无需认证,**编写 Exp 极易**。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 尝试直接访问**通知测试**和**号码管理** API 端点。 2. 检查是否返回成功响应或执行了操作。 3. 使用扫描器检测**未授权访问**风险。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:**已修复**。 📅 **发布时间**:2026-04-02。 🔗 **版本**:升级至 **10.0.42** 或更高版本。 📎 **参考**:GitHub Security Advisory (GHSA-q253-6wcm-h8hp)。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. 在 WAF/防火墙中**阻断**相关端点的匿名访问。 2. 强制要求所有 API 请求携带**有效 Token**。 3. 限制通知渠道的**发送频率**和**购买限额**。
Q10急不急?(优先级建议)
⚡ **优先级**:**高**。 📊 **CVSS**:7.5 (High)。 💡 **建议**:立即升级至 **10.0.42+**,防止被恶意刷量扣费。