CVE-2025-26347 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Q-Free MAXTIME Suite 存在**访问控制错误**。关键功能缺少身份验证。后果：攻击者可**篡改用户权限**，彻底破坏系统安全。

🛡️ **CWE-306**：缺少身份验证。缺陷点位于 `maxprofile/menu/routes.lua` 脚本中。关键路由未校验用户权限，直接暴露。

🎯 **受影响**：Q-Free 公司 **MAXTIME Suite**。版本：**2.11.0 及之前版本**。用于本地交通信号管理的软件套件。

💀 **黑客能力**：通过特制 HTTP 请求，**编辑用户权限**。可提升权限、修改配置，甚至完全控制交通信号管理系统。

📉 **门槛极低**：CVSS 显示 **AV:N** (网络), **AC:L** (低复杂度), **PR:N** (无需认证)。无需登录即可利用，极易被自动化扫描。

🔍 **现状**：数据中 **PoCs 为空**。暂无公开现成 Exploit。但漏洞原理简单，利用代码极易编写。

🔎 **自查方法**：扫描目标是否存在 `maxprofile/menu/routes.lua` 路径。尝试发送未认证的 HTTP 请求，观察是否返回权限修改成功或敏感信息。

📦 **官方修复**：发布日期 2025-02-12。建议立即联系 Q-Free 获取**最新补丁**或升级至修复版本。参考 Nozomi Networks 公告。

⚠️ **临时规避**：若无补丁，**隔离网络**，禁止外部访问该服务。在 WAF/防火墙层**拦截**对 `routes.lua` 的异常请求。

🔥 **优先级：极高**。CVSS 满分附近，影响完整性/可用性。交通系统关乎公共安全，需**立即响应**，优先打补丁或隔离。