CVE-2025-26853 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:授权机制存在严重缺陷。 💥 **后果**:攻击者可完全接管系统,导致数据泄露、篡改或服务中断。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-863(不正确的授权)。 🛠 **缺陷点**:软件内部的权限验证逻辑失效,无法正确识别用户身份。
Q3影响谁?(版本/组件)
🏢 **厂商**:Descor。 📦 **产品**:Infocad FM(BIM及设施管理软件)。 ⚠️ **版本**:3.5.1 及之前所有版本。
Q4黑客能干啥?(权限/数据)
👮 **权限**:可绕过认证,获取最高权限。 📂 **数据**:可读取、修改或删除所有BIM模型及设施管理数据。
Q5利用门槛高吗?(认证/配置)
📉 **门槛**:极低。 🔓 **条件**:无需认证(PR:N),无需用户交互(UI:N),网络远程即可利用(AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **Exp**:当前无公开PoC。 🌍 **在野**:暂无在野利用报告,但CVSS评分极高,风险巨大。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查系统版本是否 ≤ 3.5.1。 📡 **扫描**:关注Descor官方安全公告,检测授权验证逻辑异常。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:官方已发布修复说明(参考Changelog链接)。 ✅ **建议**:立即升级至修复后的最新版本。
Q9没补丁咋办?(临时规避)
⏸️ **临时**:若无补丁,需严格限制网络访问。 🚧 **措施**:仅允许受信任IP访问,关闭非必要端口,加强日志审计。
Q10急不急?(优先级建议)
🔥 **优先级**:P0(紧急)。 💡 **理由**:CVSS 9.8分,远程无认证即可完全控制,涉及关键基础设施数据。