CVE-2025-12548 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Eclipse Che 的 `che-machine-exec` 组件存在**访问控制错误**。 💥 **后果**：攻击者可绕过鉴权，执行**任意命令**并**窃取敏感秘密**，导致系统完全沦陷。

🔍 **CWE**：CWE-306（缺少身份验证）。 📍 **缺陷点**：`che-machine-exec` 模块未正确校验请求来源，允许**未经身份验证**的远程调用。

🏢 **厂商**：Red Hat。 📦 **产品**：Red Hat OpenShift Dev Spaces (RHOSDS)。 📌 **版本**：明确提及 **3.22** 版本受影响。

🔓 **权限**：远程攻击者可获得**命令执行权限**。 🕵️ **数据**：可**窃取秘密**（Secrets）。 ⚡ **影响**：CVSS 评分极高，涵盖机密性、完整性、可用性全维度破坏。

🔑 **认证**：漏洞源于**未经身份验证**的攻击，门槛极低。 🌐 **接口**：通过 **JSON-RPC / WebSocket API** 即可触发。 ⚠️ **注意**：CVSS 向量含 `PR:L` (需低权限) 和 `UI:R` (需用户交互)，但描述强调“未经身份验证”，需警惕配置差异。

📜 **PoC**：漏洞数据中 `pocs` 字段为空，**暂无公开 PoC**。 🌍 **在野**：数据未提及在野利用情况，但鉴于危害性，需高度警惕。

🔎 **自查**：检查是否运行 **Eclipse Che** 或 **RHOSDS 3.22**。 📡 **扫描**：监测针对 `che-machine-exec` 的 **JSON-RPC/WebSocket** 异常流量。 🛡️ **验证**：确认 API 端点是否强制实施了严格的身份验证机制。

🩹 **补丁**：Red Hat 已发布安全公告 **RHSA-2025:22620** 等相关 errata。 📅 **时间**：2026-01-13 公布，建议立即查阅官方链接升级。

🚧 **临时规避**：若无补丁，建议**限制 API 访问**。 🔒 **措施**：在 WAF 或网关层**阻断**对 `che-machine-exec` 的未授权 WebSocket/JSON-RPC 请求，或隔离网络环境。

🔥 **优先级**：**紧急**。 📉 **风险**：CVSS 向量显示 **C:H/I:H/A:H**，且攻击向量网络可达 (AV:N)。 💡 **建议**：立即评估受影响实例，优先安排升级或应用缓解措施。