CVE-2025-0756 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:JNDI标识符未受限(资源注入)。<br>💥 **后果**:攻击者可发起恶意JNDI请求,导致 **远程代码执行 (RCE)**,系统彻底沦陷。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-99(Improper Control of Resource Identifiers)。<br>📍 **缺陷点**:未对 **JNDI标识符** 进行严格校验和限制,允许注入恶意资源路径。
Q3影响谁?(版本/组件)
🏢 **厂商**:Hitachi Vantara。<br>📦 **产品**:Pentaho Data Integration & Analytics。<br>📅 **版本**:**10.2.0.2 之前**的所有版本(含 9.3.x 等旧版)。
Q4黑客能干啥?(权限/数据)
👑 **权限**:获得 **SYSTEM/Root** 级别权限。<br>📂 **数据**:可任意读取、篡改、删除服务器上的 **所有数据**,甚至控制整个内网。
Q5利用门槛高吗?(认证/配置)
🔐 **认证**:需要 **PR:H** (High Privileges),即需要 **已认证** 的用户身份。<br>🌐 **网络**:网络可达 (AV:N)。<br>📉 **难度**:攻击复杂度低 (AC:L),无需用户交互 (UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp/PoC**:当前 **无** 公开 PoC 或现成 Exp。<br>🌍 **在野利用**:暂无在野利用报告。<br>⚠️ **风险**:虽无Exp,但原理经典,高危漏洞易被快速利用。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 Pentaho 版本是否 < 10.2.0.2。<br>🛡️ **扫描**:使用支持 CVE-2025-0756 的漏洞扫描器检测 JNDI 注入风险点。<br>📝 **日志**:监控异常 JNDI 查找请求日志。
Q8官方修了吗?(补丁/缓解)
🛠️ **补丁**:官方已发布修复。<br>✅ **方案**:升级至 **10.2.0.2 或更高版本**。<br>🔗 **参考**:Hitachi Vantara 官方支持文章已确认修复。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:<br>1. **最小权限**:确保服务仅以低权限账户运行。<br>2. **网络隔离**:限制对 Pentaho 管理接口的访问。<br>3. **输入过滤**:在应用层严格过滤 JNDI 相关输入(若可修改代码)。
Q10急不急?(优先级建议)
🔥 **优先级**:**高 (Critical)**。<br>📊 **CVSS**:9.1 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)。<br>💡 **建议**:尽快升级补丁,即使需要认证,RCE 后果也极其严重,不可拖延。