CVE-2025-14700 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Crafty Controller 的 Webhook Template 组件存在输入验证缺陷。 💥 **后果**：攻击者可利用 **服务器端模板注入 (SSTI)** 实现 **远程代码执行 (RCE)**，彻底接管服务器。

🔍 **CWE**：CWE-1336 (不正确的模板处理)。 📍 **缺陷点**：Webhook Template 组件未对用户输入进行充分 **中和 (Sanitization)**，导致恶意模板代码被执行。

📦 **产品**：Crafty Controller (Arcadia 出品的 Minecraft 服务器控制面板/启动器)。 🏢 **厂商**：Arcadia Technology, LLC。 📌 **范围**：涉及 Webhook Template 功能模块。

👑 **权限**：CVSS 评分极高 (C:H/I:H/A:H)，意味着 **机密性、完整性、可用性** 全部丧失。 💻 **能力**：攻击者可获得 **远程代码执行** 权限，等同于服务器最高控制权。

🔐 **门槛**：CVSS 向量显示 `PR:L` (需要低权限认证)。 ⚠️ **注意**：攻击者通常需要 **合法账号** 登录控制面板才能触发漏洞，非完全匿名攻击。

🧪 **PoC**：已有现成概念验证代码。 🔗 **来源**：GitHub 上存在多个 POC 仓库 (如 Nosiume 和 secdongle 提供的版本)，利用风险 **极高**。

🔎 **自查**：检查是否运行 Crafty Controller。 📡 **扫描**：重点关注 Webhook 相关接口，监测是否存在异常的 **模板注入 payload** 请求。

🛡️ **状态**：官方 GitLab Issue #646 已记录该问题。 📅 **时间**：2025-12-17 发布 CVE，建议立即检查官方更新日志获取 **补丁版本**。

🚧 **规避**：若无法立即升级，应 **限制 Webhook 接口** 的访问权限。 🔒 **措施**：仅允许可信 IP 访问，或暂时 **禁用** Webhook Template 功能，切断攻击路径。

⚡ **优先级**：**紧急 (Critical)**。 📢 **建议**：鉴于 CVSS 满分潜力及 PoC 公开，建议 **立即隔离** 受影响实例并 **紧急升级** 至安全版本。