CVE-2026-8133 — 神龙十问 AI 深度分析摘要
CVSS 7.3 · High
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:`admin.php` 参数顺序被操控 → **SQL 注入** 💥 **后果**:远程攻击者可读/改数据库 📉 造成信息泄露或破坏
Q2根本原因?(CWE/缺陷点)
🔍 **根本原因**:参数顺序操纵 ⚠️ 疑似 **CWE-89**: SQL 注入 📌 缺陷点:`dzz/shares/admin.php` 某未知功能
Q3影响谁?(版本/组件)
🎯 **影响版本**:zyx0814 FilePress ≤ **2.2.0** 🧩 **影响组件**:Shares Filelist API ➡️ `admin.php`
Q4黑客能干啥?(权限/数据)
👤 **权限**:无需登录 🚪 🗃️ **可操作数据**:数据库内容 📉 风险:窃取、篡改、破坏数据
Q5利用门槛高吗?(认证/配置)
✅ **利用门槛低** 🌐 **远程** ✔️ 🔓 **无需认证**(PR:N / UI:N) ⚙️ 默认配置即可触发
Q6有现成Exp吗?(PoC/在野利用)
🧨 **有现成 Exp**! 📂 GitHub 有 PoC 🔗 `Web-Security-Research/FilePress/Shares-API-PreAuth-SQLi` 📢 利用代码已公开 🚨
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: - 检查是否用 FilePress ≤ 2.2.0 ❗ - 定位 `dzz/shares/admin.php` 📁 - 搜索未过滤的参数拼接 🧵 - 可用已知请求测试响应异常 🧪
Q8官方修了吗?(补丁/缓解)
🛡️ **官方已修复** ✅ 📌 补丁哈希:`e20ec58414103f781858f2951d178e19b1736664` 🔗 GitHub commit & PR 已发布 🔧
Q9没补丁咋办?(临时规避)
⚠️ **无补丁前**: - 限制 `admin.php` 访问 🚧 IP白名单 - 关闭 Shares Filelist API ❌ - Web 防火墙拦截可疑参数 🧱
Q10急不急?(优先级建议)
🔥 **优先级高**! 📈 CVSS: **6.3**(L/L/L) 📢 易利用 + 已公开 Exp ➕ 远程无认证 💡 建议立即打补丁或临时防护 🚨