CVE-2025-10230 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Samba WINS 钩子处理中的 **OS 命令注入**。 💥 **后果**：攻击者可远程执行任意系统命令，导致 **RCE（远程代码执行）**。

🔍 **CWE-78**：操作系统命令注入。 📍 **缺陷点**：前端 WINS 钩子未对 **NetBIOS 名称** 进行适当验证或转义，直接拼接执行。

🖥️ **组件**：Samba（Linux/Unix 的 Windows 互操作性套件）。 📦 **版本**：**Samba 4.0+**，特别是作为 **AD 域控制器** 部署时。

👑 **权限**：无认证远程执行，权限等同于 Samba 服务进程。 📂 **数据**：可完全控制服务器，窃取数据、横向移动或破坏系统（CVSS 10.0）。

🚪 **认证**：**无需认证** (PR:N)。 ⚙️ **配置**：需开启 `wins support = yes` 且配置了 `wins hook`。利用受限：注入字符仅 **15位**，且不能含 `<>;` 等特殊符号。

💻 **PoC**：GitHub 上已有多个 PoC（如 dptsec, Black4sh 等）。 🌍 **在野**：数据未明确提及大规模在野利用，但 PoC 已公开，风险极高。

🔎 **自查**：检查 Samba 配置文件中是否包含 `wins hook` 指令。 📡 **扫描**：检测是否启用了 WINS 支持并响应特定 NetBIOS 注册请求。

🛡️ **官方**：Samba 官方已发布安全公告。 🔧 **缓解**：建议升级至修复版本，或移除/禁用 `wins hook` 配置。

🚫 **临时规避**：若无法立即升级，**禁用 `wins hook`** 或设置 `wins support = no`。 🧱 **网络**：限制对 Samba 服务器的网络访问，仅允许可信 IP。

🔥 **优先级**：**CRITICAL (10.0)**。 ⚡ **建议**：**立即行动**。这是无认证 RCE，一旦利用后果灾难性，务必优先修补。