CVE-2025-10035 — 神龙十问 AI 深度分析摘要

🚨 **本质**：License Servlet 反序列化不当。 💥 **后果**：攻击者可构造恶意对象，导致**命令注入**，甚至获取服务器控制权。

🔍 **CWE**：CWE-77 (命令注入)。 📍 **缺陷点**：反序列化过程中未正确净化特殊元素，允许反序列化攻击者控制的任意对象。

🏢 **厂商**：Fortra。 📦 **产品**：GoAnywhere MFT。 ⚠️ **注意**：需通过登录页版本号匹配受影响范围（具体版本见官方公告）。

👑 **权限**：最高风险！CVSS 10分。 📂 **数据**：可执行任意系统命令，完全控制服务器，窃取或篡改所有文件传输数据。

🔑 **门槛**：中等。 🛡️ **前置条件**：需拥有**有效伪造的 License 响应签名**。 🌐 **网络**：无需认证 (PR:N)，远程利用 (AV:N)。

💻 **Exp**：有 PoC 代码公开 (GitHub)。 🔎 **检测**：已有 Nuclei 模板和 Python 检测脚本。 🚫 **在野**：数据未明确提及在野利用，但 Exp 已存在，风险极高。

🔍 **自查方法**： 1. 访问登录页提取版本号。 2. 使用 Nuclei 模板扫描。 3. 使用专用 Checker 脚本检测 `Location` 头响应。

🛡️ **官方修复**：已发布安全公告 (FI-2025-012/011)。 📥 **行动**：请立即查阅 Fortra 官网，下载最新补丁或升级版本。

⚠️ **临时规避**： 1. 限制 License Servlet 访问权限。 2. 严格验证 License 签名来源。 3. 部署 WAF 拦截反序列化载荷。 *(注：数据未提供具体临时缓解措施，建议参考官方建议)*

🔥 **优先级**：P0 (紧急)。 📉 **CVSS**：10.0 (满分)。 💡 **建议**：立即隔离受影响实例，优先打补丁，防止被自动化脚本扫描利用。