CVE-2025-26361 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Q-Free MAXTIME Suite 存在**访问控制错误**。关键功能缺少身份验证。📉 **后果**:攻击者可远程发起**出厂重置**,导致设备配置丢失,业务中断。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE**:CWE-306 (缺少身份验证)。🔍 **缺陷点**:`maxprofile/setup/routes.lua` 脚本中的关键功能未设置访问控制,任何人都可调用。
Q3影响谁?(版本/组件)
🏢 **厂商**:Q-Free。📦 **产品**:MaxTime (本地交通信号管理软件)。📅 **版本**:**2.11.0 及之前版本**均受影响。
Q4黑客能干啥?(权限/数据)
💥 **权限**:无需认证即可执行高危操作。📂 **数据/影响**:虽不直接窃取数据,但可导致**完整性 (I:H)** 和 **可用性 (A:H)** 严重受损,设备被重置。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**极低**。CVSS 显示攻击向量网络 (AV:N),攻击复杂度低 (AC:L),无需权限 (PR:N),无需用户交互 (UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp**:当前公开数据中 **暂无** 现成 PoC 或已知在野利用报告。但漏洞原理简单,利用风险高。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查是否运行 Q-Free MAXTIME Suite 且版本 ≤ 2.11.0。尝试访问 `maxprofile/setup/routes.lua` 接口,看是否无需登录即可响应。
Q8官方修了吗?(补丁/缓解)
🩹 **补丁**:官方已发布安全公告 (2025-02-12)。建议立即联系厂商获取**升级补丁**或更新到修复版本。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:若无法立即升级,务必在防火墙/网络层**阻断**对该设备 `maxprofile/setup/routes.lua` 路径的未授权访问,限制管理接口暴露。
Q10急不急?(优先级建议)
⚡ **优先级**:**紧急**。CVSS 评分高 (I:H/A:H),且无需认证即可重置设备,对交通信号管理系统的稳定性构成直接威胁,需立即处置。