CVE-2026-5652 — 神龙十问 AI 深度分析摘要
CVSS 9.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Crafty Controller 的 Users API 权限验证存在缺陷。 💥 **后果**:远程攻击者可执行非授权的**用户修改操作**,破坏系统完整性。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-639(授权不当)。 📍 **缺陷点**:**Users API** 组件在处理请求时,未能正确校验当前用户是否有权执行该操作。
Q3影响谁?(版本/组件)
📦 **产品**:Crafty Controller(Arcadia 出品的 Minecraft 服务器控制面板/启动器)。 🏢 **厂商**:Arcadia Technology, LLC。
Q4黑客能干啥?(权限/数据)
👤 **权限**:仅限**已认证**用户。 📊 **数据**:可**修改其他用户信息**(如角色、权限、配置等),导致权限提升或数据篡改。
Q5利用门槛高吗?(认证/配置)
🔑 **门槛**:中等。 ✅ **前提**:攻击者必须拥有**有效的登录凭证**(PR:H)。 🌐 **网络**:无需交互(UI:N),可直接远程利用。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **Exp**:当前 **无公开 PoC**。 🌍 **在野**:暂无在野利用报告。 🔗 **参考**:GitLab Issue #705。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 Crafty Controller 的 **Users API** 接口日志。 ⚠️ **特征**:关注非当前用户发起的**用户修改请求**,特别是权限变更或资料编辑操作。
Q8官方修了吗?(补丁/缓解)
🛡️ **状态**:官方已发布通告(2026-04-21)。 🔧 **建议**:立即查阅 GitLab 工作项 #705,获取官方推荐的**补丁或配置修复方案**。
Q9没补丁咋办?(临时规避)
🛑 **临时规避**: 1. **最小权限原则**:严格限制拥有用户管理权限的账号。 2. **网络隔离**:将 Crafty Controller 面板置于内网,禁止直接暴露公网。 3. **MFA**:为所有管理员账户启用多因素认证。
Q10急不急?(优先级建议)
⚡ **优先级**:高。 📉 **CVSS**:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:L。 💡 **见解**:虽需认证,但**授权失效**是高危漏洞,一旦凭证泄露,后果严重,需**尽快修复**。