CVE-2025-26342 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Q-Free MAXTIME Suite 存在**访问控制错误**。关键功能缺少身份验证。💥 **后果**:攻击者可**创建任意用户**,甚至直接获取**管理员权限**,彻底接管系统。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE**:CWE-306(缺少身份验证)。🔍 **缺陷点**:`maxprofile/accounts/routes.lua` 脚本中的关键功能未实施身份验证检查。
Q3影响谁?(版本/组件)
🏢 **厂商**:Q-Free。📦 **产品**:MaxTime (MAXTIME Suite)。📅 **版本**:**2.11.0 及之前版本**均受影响。
Q4黑客能干啥?(权限/数据)
🕵️♂️ **黑客能力**:无需认证即可通过特制 HTTP 请求**创建新用户**。👑 **权限提升**:可直接创建**管理员账户**,完全控制交通信号管理系统。
Q5利用门槛高吗?(认证/配置)
📉 **门槛极低**:CVSS 评分显示 **AV:N** (网络攻击)、**AC:L** (低复杂度)、**PR:N** (无需权限)。🚪 **无需登录**,直接暴露在互联网或内网即可利用。
Q6有现成Exp吗?(PoC/在野利用)
📜 **现状**:根据提供数据,目前**暂无公开 PoC** 或确凿的**在野利用**报告。🔍 但鉴于利用简单,风险极高。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**:检查是否存在 `maxprofile/accounts/routes.lua` 文件。📡 **扫描特征**:尝试向该路径发送未认证的 HTTP 请求,观察是否返回用户创建成功或相关响应。
Q8官方修了吗?(补丁/缓解)
🩹 **官方修复**:数据中未提及具体补丁版本。⚠️ 建议立即联系 Q-Free 官方获取最新安全更新或临时缓解措施。
Q9没补丁咋办?(临时规避)
🛑 **临时规避**:若无法打补丁,应**限制访问**该服务至可信 IP。🔒 在 Web 服务器或防火墙层**强制实施身份验证**,拦截对 `/accounts/routes` 的未授权访问。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。CVSS 向量显示 **C:H/I:H/A:H** (高机密/完整性/可用性影响)。交通基础设施安全至关重要,需立即处置。