CVE-2025-11250 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:过滤器配置不当导致**身份验证绕过**。 📉 **后果**:攻击者可非法访问系统,破坏完整性与机密性。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-290**:身份验证绕过。 🐛 **缺陷点**:**过滤器配置错误**,未能正确校验用户凭证。
Q3影响谁?(版本/组件)
🏢 **厂商**:Zoho Corp。 📦 **产品**:ManageEngine ADSelfService Plus。 📅 **版本**:**6519之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:可绕过登录验证,获取**高权限**访问。 📊 **数据**:可读取/修改 Active Directory 及云应用数据(C:H, I:H)。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛低**:CVSS评分高,**无需认证**(PR:N),**无需交互**(UI:N),网络远程即可利用(AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **暂无**:数据中 `pocs` 为空,暂无公开 PoC 或确认为在野利用。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 ADSelfService Plus 版本号是否 **< 6519**。 📡 **扫描**:检测是否存在针对该产品的身份验证绕过尝试。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:Zoho 已发布安全公告(参考链接),建议升级至**6519或更高版本**。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:若无法立即升级,建议**限制网络访问**,仅允许可信IP连接,并加强日志监控。
Q10急不急?(优先级建议)
🔥 **紧急**:CVSS 3.1 高分,远程无需认证即可利用,建议**立即评估并升级**。