CVE-2026-5166 — 神龙十问 AI 深度分析摘要
CVSS 9.6 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:路径遍历漏洞 (Path Traversal) 💥 **后果**:攻击者可读取或修改服务器上的任意文件,导致**数据泄露**或**系统被控**。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-22 (路径遍历) 🛠 **缺陷点**:**路径名限制不当**。程序未对用户输入的路径进行严格校验,导致非法字符被解析。
Q3影响谁?(版本/组件)
📦 **产品**:Pardus Software Center 🏢 **厂商**:TÜBİTAK BİLGEM (土耳其) 📉 **版本**:**1.0.3 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
👮 **权限**:CVSS 评分极高 (H) 📂 **数据**:可访问**高敏感**系统文件。 ⚙️ **影响**:完整性 (I:H) 和可用性 (A:H) 均遭受严重破坏。
Q5利用门槛高吗?(认证/配置)
🚪 **利用门槛**:中等 🔑 **认证**:无需认证 (PR:N) 🖱️ **交互**:需要用户交互 (UI:R),即受害者需点击恶意链接或执行特定操作。
Q6有现成Exp吗?(PoC/在野利用)
📜 **Exp/PoC**:当前数据中 **无** 公开 PoC 或现成 Exp。 🌍 **在野利用**:暂无报道,但风险极高,需警惕。
Q7怎么自查?(特征/扫描)
🔎 **自查特征**:检查软件中心版本是否 **< 1.0.3**。 📡 **扫描**:关注涉及文件路径处理的输入点,测试是否包含 `../` 等遍历序列。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:建议升级至 **1.0.3 或更高版本**。 📝 **参考**:USOM 已发布安全通告 (tr-26-0131)。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:若无法升级,需严格**过滤输入**,禁止路径中包含 `../`。 🚫 **最小权限**:限制应用运行权限,防止读取关键系统文件。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急** 📊 **CVSS**:向量显示攻击向量网络 (AV:N),危害等级高。建议立即评估并制定升级计划。