CVE-2026-40258 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞 (Path Traversal)。 💥 **后果**：攻击者可通过特制 ZIP 文件，在服务器本地文件系统**写入任意文件**，导致数据泄露或系统被控。

🔍 **CWE**：CWE-22 (路径遍历)。 📍 **缺陷点**：**媒体存档导入功能**未正确校验 ZIP 文件内的文件路径，导致非法路径被解析。

📦 **组件**：Gramps Web API。 📅 **版本**：**1.6.0 至 3.11.0** 版本均受影响。

🕵️ **权限**：需具备**所有者级别权限**的已认证用户。 📂 **数据**：可**任意写入**服务器本地文件，可能覆盖关键配置或植入 Webshell。

🔑 **门槛**：**中等**。 ⚠️ **条件**：必须**经过身份验证**且拥有**所有者级别权限**，非匿名攻击。

📜 **Exp**：目前**无公开 PoC**。 🌍 **利用**：暂无在野利用报告，但逻辑漏洞风险高。

🔎 **自查**：检查 API 版本是否在 **1.6.0-3.11.0** 之间。 📂 **监控**：审计媒体导入日志，关注包含 **../** 等异常路径的 ZIP 上传请求。

🛡️ **补丁**：**已修复**。 🔗 **版本**：升级至 **v3.11.1** 或更高版本即可解决。

⏸️ **临时规避**：若无法升级，建议**限制媒体导入功能**的使用权限，或部署 WAF 拦截包含路径遍历特征的上传请求。

🔥 **优先级**：**高**。 💡 **建议**：CVSS 评分高 (H)，且涉及文件写入，建议**立即升级**至 v3.11.1+ 以消除风险。