CVE-2026-4370 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Juju 内部 Dqlite 集群 **TLS 认证缺失**。 💥 **后果**：攻击者可 **未经身份验证** 加入集群，获取数据库 **完全读写权限**，导致数据泄露或篡改。

🔍 **CWE**：CWE-295 (Improper Certificate Validation)。 🔧 **缺陷点**：Dqlite 数据库集群 **未执行正确的 TLS 客户端和服务器身份验证**，信任链断裂。

📦 **厂商**：Canonical。 📱 **产品**：Juju。 ⚠️ **受影响版本**： - **3.2.0** 至 **3.6.19** - **4.0** 至 **4.0.4**

🕵️ **黑客能力**： - **加入集群**：无需认证即可接入。 - **完全控制**：获取底层数据库 **完全读写访问权**。 - **数据风险**：可窃取、修改或删除所有编排数据。

📉 **门槛极低**。 - **网络**：AV:N (网络可攻击)。 - **认证**：PR:N (无需权限/认证)。 - **交互**：UI:N (无需用户交互)。 - **复杂度**：AC:L (低复杂度)。 👉 **只要网络可达，即可直接利用**。

🚫 **无现成 Exp**。 - **PoC**：数据中 `pocs` 为空，暂无公开概念验证代码。 - **在野利用**：未提及，但鉴于 CVSS 分数极高，风险极大。

🔍 **自查方法**： 1. **版本核查**：检查 Juju 控制器版本是否在 **3.2.0-3.6.19** 或 **4.0-4.0.4** 范围内。 2. **网络扫描**：检测 Dqlite 端口是否允许匿名 TLS 连接。 3. **日志审计**：查看是否有异常的集群节点加入记录。

🛡️ **官方已修复**。 - **参考链接**：GitHub Security Advisory (GHSA-gvrj-cjch-728p)。 - **建议**：立即升级至 **不受影响的最新版本**（如 3.6.20+ 或 4.0.5+）。

🚧 **临时规避**（若无补丁）： 1. **网络隔离**：严格限制 Dqlite 集群端口的 **访问控制列表 (ACL)**，仅允许可信 IP。 2. **防火墙策略**：在集群节点间启用 **强制 TLS 双向认证**（若配置支持）。 3. **监控告警**：对集群成员变更进行实时告警。

🔥 **紧急程度：极高**。 - **CVSS**：9.8 (Critical)。 - **建议**：**立即行动**。此漏洞允许无认证远程代码/数据执行，对云原生编排平台是 **毁灭性打击**，优先安排升级。