CVE-2025-14611 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:AES加密方案使用了**硬编码值**。 💥 **后果**:导致**任意本地文件包含**(LFI),攻击者可绕过认证读取敏感文件,甚至**完全控制系统**。
Q2根本原因?(CWE/缺陷点)
🛡️ **缺陷点**:**硬编码凭据/密钥**。 📉 **CWE**:数据未提供具体CWE ID,但核心是**不安全的加密实现**(硬编码密钥导致加密失效)。
Q3影响谁?(版本/组件)
🏢 **厂商**:Gladinet。 📦 **产品**:CentreStack 和 TrioFox。 📅 **版本**:**16.12.10420.56791 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
🕵️ **权限**:**无需认证**(Without Authentication)。 📂 **数据**:可执行**任意本地文件包含**,直接读取服务器本地文件,潜在导致**系统级沦陷**。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**极低**。 ✅ **认证**:**不需要**登录或任何身份验证。 ⚙️ **配置**:利用硬编码密钥即可直接发起攻击。
Q6有现成Exp吗?(PoC/在野利用)
💻 **Exp**:**有**。 🔗 **PoC**:GitHub 上已有完整 PoC/Exploit(如 `pl4tyz/CVE-2025-14611`)。 🌍 **在野**:Huntress 博客指出存在**活跃利用**(Active Exploitation)。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查 CentreStack/TrioFox 版本是否 **< 16.12.10420.56791**。 📡 **扫描**:使用 Nuclei 模板(`http/cves/2025/CVE-2025-14611.yaml`)进行自动化检测。
Q8官方修了吗?(补丁/缓解)
🩹 **补丁**:官方已发布修复版本。**升级至 16.12.10420.56791 或更高版本**即可修复。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:若无法立即升级,建议**立即断开外网访问**或**严格限制IP白名单**,防止未授权访问。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 ⚡ **理由**:无需认证 + 有在野利用 + 有现成Exp。建议**立即修复**!