CVE-2025-14346 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:蓝牙连接**缺少身份验证**。 🚨 **后果**:导致**访问控制错误**,设备可能被**未经授权**的人控制。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE ID**:**CWE-306**(缺少身份验证)。 🛡️ **缺陷点**:蓝牙配对或连接过程中,**未校验**操作者身份。
Q3影响谁?(版本/组件)
🔍 **厂商**:**WHILL**。 🔍 **受影响产品**:**Model C2** 和 **Model F** 电动轮椅。
Q4黑客能干啥?(权限/数据)
💡 **权限**:**完全控制**设备(S:U/C:H/I:H/A:H)。 💡 **数据**:可能窃取设备状态或用户数据(C:H)。
Q5利用门槛高吗?(认证/配置)
🚨 **门槛极低**。 🚨 **无需认证**(PR:N)。 🚨 **无需用户交互**(UI:N)。 🚨 **攻击距离**:网络/蓝牙范围(AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
❌ **无现成Exp**:数据中 `pocs` 为空。 ❌ **无在野利用**:暂无公开利用报告。
Q7怎么自查?(特征/扫描)
🔍 **自查方法**:检查蓝牙连接是否**默认信任**。 🔍 **扫描特征**:测试在**无配对码**情况下能否发送控制指令。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方动态**:CISA 已发布 **ICSMA-25-364-01** advisories。 🛡️ **补丁状态**:数据未提供具体补丁版本,需关注厂商公告。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:在**非受控环境**下,建议**关闭蓝牙**或限制物理接触。 ⚠️ **物理隔离**:防止陌生人靠近蓝牙范围。
Q10急不急?(优先级建议)
🚨 **优先级:高**。 🚨 **CVSS 评分**:**9.1**(Critical)。 🚨 **建议**:立即联系 WHILL 获取固件更新,或采取物理隔离措施。