CVE-2026-39337 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:ChurchCRM 安装向导存在**代码注入**漏洞。<br>🔥 **后果**:攻击者可实现**预身份验证远程代码执行**,导致**服务器完全被控制**。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE**:CWE-94(代码注入)。<br>🔍 **缺陷点**:安装向导中 `$dbPassword` 变量**未清理**,直接带入执行。
Q3影响谁?(版本/组件)
📦 **厂商**:ChurchCRM。<br>📉 **版本**:**7.1.0 之前**的所有版本。
Q4黑客能干啥?(权限/数据)
💀 **权限**:无需认证(预身份验证)。<br>📂 **数据**:可执行任意命令,**完全接管服务器**,无限制访问数据。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**极低**。<br>⚙️ **配置**:**无需认证**,无需用户交互,远程直接利用。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp**:数据中未提供现成 PoC 或**在野利用**报告。<br>⚠️ 但鉴于漏洞本质,利用难度极低。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查是否运行 ChurchCRM 且版本 < 7.1.0。<br>📡 **扫描**:关注安装向导接口的输入点,特别是数据库密码字段。
Q8官方修了吗?(补丁/缓解)
🩹 **补丁**:官方已发布安全公告(GHSA-pm2v-ggh4-mp7p)。<br>✅ **建议**:立即升级至 **7.1.0 或更高版本**。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:若无法升级,**禁用或移除安装向导**入口。<br>🛑 确保未安装状态下,安装脚本不可被公开访问。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急**。<br>⚡ **理由**:CVSS 评分极高(H/H/H),**无需认证**即可**完全控制**服务器,风险极大。