CVE-2025-0680 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:操作系统命令注入(OS Command Injection)。 🔥 **后果**:攻击者可完全控制连接到云端的任意设备,导致系统被接管。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE**:CWE-78(OS命令注入)。 🔍 **缺陷**:设备在处理输入时未正确过滤或转义,导致恶意命令被执行。
Q3影响谁?(版本/组件)
🏢 **厂商**:New Rock Technologies(中国迅时通信)。 📦 **产品**:New Rock Cloud Connected Devices 系列,特别是 **OM500 IP-PBX**。
Q4黑客能干啥?(权限/数据)
💀 **权限**:最高权限(Root/System级)。 📊 **数据**:可读取、修改或删除设备上的所有数据,甚至控制硬件。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛**:极低。 🔓 **条件**:无需认证(PR:N),无需用户交互(UI:N),网络可达即可(AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp**:数据中未提供现成 PoC 或 Exp。 🌍 **在野**:暂无公开在野利用报告,但风险极高。
Q7怎么自查?(特征/扫描)
🔍 **自查**:扫描是否存在 New Rock OM500 设备。 📡 **特征**:检查设备是否连接至 New Rock Cloud,并测试输入过滤机制。
Q8官方修了吗?(补丁/缓解)
🛠️ **补丁**:数据中未提及官方补丁或缓解措施。 ⏳ **状态**:需关注厂商后续公告(2025-01-30 发布)。
Q9没补丁咋办?(临时规避)
🚧 **规避**:隔离设备网络,限制对云服务的访问。 🔒 **策略**:实施严格的网络分段,防止攻击者横向移动。
Q10急不急?(优先级建议)
🔴 **优先级**:极高(CVSS 9.8)。 ⚠️ **建议**:立即下线或隔离受影响设备,直到官方发布修复方案。