CVE-2025-10283 — 神龙十问 AI 深度分析摘要

🚨 **本质**：BBOT 递归扫描器存在安全缺陷。 💥 **后果**：恶意 Git 仓库可触发 **命令执行 (RCE)**。 ⚠️ **风险**：CVSS 评分极高，系统完全沦陷。

🔍 **CWE**：CWE-22（路径遍历/相对路径问题）。 🐛 **缺陷**：处理 Git 仓库时未严格校验路径。 📉 **根源**：恶意仓库利用路径漏洞逃逸沙箱。

🏢 **厂商**：BLSOPS, LLC。 📦 **产品**：BBOT (Black Lantern Security)。 🌐 **类型**：开源递归互联网扫描器。

🔓 **权限**：获得 **命令执行** 权限。 📂 **数据**：可读取/修改任意文件。 💻 **控制**：完全控制运行 BBOT 的主机。

🔑 **认证**：PR:N (无需认证)。 👀 **UI**：UI:R (需用户交互/诱导)。 🌐 **网络**：AV:N (网络远程)。 📉 **难度**：攻击向量简单，但需诱导用户操作。

📜 **PoC**：数据中未提供现成 Exp。 🌍 **在野**：暂无在野利用报告。 🔗 **参考**：官方已发布安全公告。

🔎 **自查**：检查是否使用 BBOT 扫描工具。 📂 **日志**：审查 Git 仓库来源是否可信。 🛡️ **监控**：监控异常命令执行行为。

🛠️ **补丁**：官方已发布安全公告。 📢 **链接**：Black Lantern Security 博客。 ✅ **建议**：立即升级至修复版本。

🚫 **规避**：禁用不可信的 Git 仓库源。 🔒 **隔离**：在沙箱或容器中运行 BBOT。 🧹 **清理**：定期清理临时 Git 缓存。

🔥 **优先级**：**紧急**。 📈 **严重度**：CVSS 3.1 高分 (C:H/I:H/A:H)。 ⏳ **行动**：立即更新 BBOT 并审查配置。