CVE-2025-13607 — 神龙十问 AI 深度分析摘要
CVSS 9.4 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:未授权访问导致配置泄露。 📉 **后果**:攻击者无需登录即可获取**账户凭据**及相机配置信息,隐私彻底裸奔。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-306**:缺少身份验证。 🐛 **缺陷点**:特定URL接口**未做权限校验**,直接暴露敏感数据。
Q3影响谁?(版本/组件)
📦 **厂商**:D-Link(友讯)。 📷 **型号**:**DCS-F5614-L1** 网络摄像机。
Q4黑客能干啥?(权限/数据)
🔑 **权限**:无需认证(PR:N)。 📂 **数据**:直接读取**账户密码**、完整配置,可接管设备。
Q5利用门槛高吗?(认证/配置)
📉 **门槛极低**。 ✅ **无需**:登录、点击、特殊配置。 🌐 **只需**:网络可达 + 访问特定URL。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **无现成Exp**。 📝 **状态**:PoC列表为空,暂无公开在野利用代码。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 扫描目标IP是否运行该型号。 2. 尝试访问敏感配置URL,看是否返回明文凭据。 3. 检查是否存在未授权接口。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方已响应**。 📄 **参考**:D-Link SAP10462 公告及 CISA ICSA-25-343-03 建议。 ⚠️ **注意**:数据未明确提及补丁版本,需查阅官方链接。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**: 1. **隔离**:将设备置于内网,禁止公网访问。 2. **防火墙**:阻断对敏感URL的访问。 3. **改密**:立即修改默认/已知密码。
Q10急不急?(优先级建议)
🔥 **优先级:高**。 📊 **CVSS 3.1**:C:H/I:H/A:L(高机密/高完整/低可用)。 💡 **建议**:虽无Exp,但**零门槛**泄露密码,风险极大,建议立即隔离并关注补丁。