CVE-2025-13926 — 神龙十问 AI 深度分析摘要

🚨 **本质**：网络流量嗅探导致的安全缺陷。 💥 **后果**：攻击者可伪造数据包，发起任意请求，彻底破坏系统完整性。

🔍 **CWE**：CWE-807 (安全决策基于不可信数据)。 📍 **缺陷点**：缺乏对网络通信来源和内容的严格验证，导致信任被滥用。

🏢 **厂商**：Contemporary Controls。 📦 **产品**：BASControl20 (具体提及 BASC 20T)。 🏗️ **场景**：楼宇自动化控制与 BACnet 通信控制器。

🔓 **权限**：可发起**任意请求**。 📊 **数据**：CVSS 评分显示 **C:H, I:H, A:H**，意味着机密性、完整性和可用性均面临**高危**风险。

🚪 **认证**：PR:N (无需认证)。 🌐 **攻击向量**：AV:N (网络可远程利用)。 🎯 **结论**：门槛极低，无需用户交互即可远程攻击。

📦 **PoC**：数据中 `pocs` 为空，暂无公开代码。 🌍 **在野**：暂无明确在野利用报告，但 CISA 已发布 ICS 警报，需高度警惕。

🔎 **自查**：检查是否部署 Contemporary Controls BASControl20/BASC 20T。 📡 **检测**：监控 BACnet 通信流量，识别异常或伪造的控制指令包。

🛡️ **官方**：CISA 已发布 ICSA-26-099-01 警报。 🔗 **参考**：建议查阅厂商技术支持页面 (ccontrols.com) 获取最新补丁或缓解措施。

⚠️ **临时规避**： 1. 网络隔离：将 BACnet 设备置于独立 VLAN。 2. 访问控制：限制对控制器的网络访问权限。 3. 流量监控：部署 IDS 检测异常 BACnet 流量。

🔥 **优先级**：**极高**。 📅 **时间**：2026-04-09 发布。 💡 **建议**：鉴于 CVSS 满分风险且无需认证，应立即实施网络隔离并联系厂商获取修复方案。