CVE-2025-0159 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:IBM FlashSystem 的 RPCAdapter 端点存在**身份验证绕过**缺陷。 🔥 **后果**:攻击者可通过特制 HTTP 请求,在未授权情况下访问系统,导致**机密性**和**完整性**严重受损。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE ID**:CWE-288(**身份验证绕过**)。 📍 **缺陷点**:针对 **RPCAdapter** 端点的访问控制逻辑失效,未能正确验证请求者身份。
Q3影响谁?(版本/组件)
🏢 **厂商**:IBM(国际商业机器)。 💾 **产品**:**Storage Virtualize** 系列,具体为 **IBM FlashSystem**(高性能全闪存/混合闪存存储解决方案)。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:无需认证即可访问受保护的 RPCAdapter 端点。 📂 **数据**:可读取或修改存储系统关键数据(CVSS 显示 **C:H** 高机密性影响,**I:H** 高完整性影响)。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛**:**极低**。 🌐 **网络**:网络可达即可(AV:N)。 🔑 **认证**:**无需**身份验证(PR:N)。 👤 **交互**:无需用户交互(UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
📦 **Exp/PoC**:当前数据中 **无** 现成 PoC 或公开利用代码。 🌍 **在野利用**:暂无在野利用报告(基于提供数据)。
Q7怎么自查?(特征/扫描)
🔎 **自查特征**:扫描针对 IBM FlashSystem 的 **RPCAdapter** 端点的异常 HTTP 请求。 🛡️ **检测**:检查是否有未授权访问日志,或尝试发送特制请求看是否绕过认证。
Q8官方修了吗?(补丁/缓解)
🛠️ **官方修复**:IBM 已发布安全公告(参考链接:support.ibm.com)。 📝 **状态**:建议立即查阅官方支持页面获取最新补丁或缓解措施。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:若暂无补丁,建议**限制 RPCAdapter 端点的网络访问**(如防火墙策略),仅允许可信 IP 访问,阻断外部直接连接。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急**。 📊 **CVSS**:3.1 版本,向量显示**高严重性**(C:H, I:H)。 ⚠️ **建议**:由于无需认证且利用简单,应**立即**评估并应用官方修复或缓解措施。