CVE-2026-39355 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Genealogy 家谱应用存在**访问控制漏洞**。 💥 **后果**:攻击者可非法转移**所有权**,导致非授权用户接管团队资产。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-862(缺失授权)。 📍 **缺陷点**:关键操作缺乏严格的**权限校验**,导致越权行为发生。
Q3影响谁?(版本/组件)
📦 **组件**:Genealogy (PHP 家谱应用)。 👤 **厂商**:MGeurts (KREAWEB.be)。 📉 **版本**:**5.9.1 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: 1. **任意所有权转移**:将非个人团队的所有权据为己有。 2. **数据篡改**:高完整性风险 (I:H)。 3. **服务破坏**:高可用性风险 (A:H)。
Q5利用门槛高吗?(认证/配置)
🔑 **利用门槛**: ✅ **需认证**:PR:L (需要低权限认证)。 ✅ **无需交互**:UI:N (用户无需参与)。 ⚡ **易利用**:AC:L (攻击复杂度低)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp/PoC**: ❌ **无公开 PoC**:数据中 pocs 为空。 🔗 **参考链接**:GitHub Security Advisory (GHSA-2rq7-jqm7-w8x4) 已确认。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查应用版本是否 **< 5.9.1**。 2. 审计**所有权转移**接口的权限控制逻辑。 3. 扫描是否存在 **CWE-862** 类型的越权漏洞。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**: ✅ **已发布**:2026-04-07 公布安全公告。 📌 **建议**:升级至 **5.9.1 或更高版本**。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**: 1. 限制**所有权转移**功能的访问权限。 2. 实施严格的**输入验证**和**会话管理**。 3. 监控异常的**所有权变更**日志。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 📊 **CVSS**:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H (严重)。 💡 **建议**:立即升级或应用缓解措施,防止资产被非法转移。