CVE-2026-4755 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Android ImageMagick 输入验证不当。 💥 **后果**:攻击者可利用此缺陷导致严重安全后果,包括**机密性、完整性及可用性**的全面崩溃。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-20(输入验证不当)。 📍 **缺陷点**:库在处理输入数据时,缺乏足够的校验机制,导致恶意构造的数据被错误执行。
Q3影响谁?(版本/组件)
📦 **组件**:Android-ImageMagick7。 👤 **厂商**:MolotovCherry(Cherry个人开发者)。 📉 **版本**:**7.1.2-11 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:无需认证,远程直接利用。 📊 **数据**:CVSS评分极高(H/H/H),意味着攻击者可能获取**最高权限**,完全控制受影响的应用或设备。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**极低**。 📝 **配置**:攻击向量网络(AV:N),攻击复杂度低(AC:L),无需用户交互(UI:N),无需权限(PR:N)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp**:当前公开数据中 **无现成 PoC**(pocs 列表为空)。 🌍 **在野**:暂无在野利用报告,但鉴于利用难度低,风险极高。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查项目中引用的 `Android-ImageMagick7` 库版本。 📋 **特征**:若版本号 **< 7.1.2-11**,即存在该漏洞风险。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:**已修复**。 🔗 **来源**:GitHub PR #193 提供了修复方案。建议立即升级至修复后的版本。
Q9没补丁咋办?(临时规避)
⚠️ **规避**:若无法立即升级,建议**限制图像处理服务的网络访问**,或暂时禁用相关图像处理功能,减少攻击面。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急**。 💡 **建议**:CVSS 向量显示为高危,且利用条件宽松。请**立即**评估受影响应用并安排更新。