CVE-2025-27595 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SICK DL100 传感器使用**弱哈希算法**生成密码。 💥 **后果**：攻击者可轻易**反推/计算**出匹配密码，导致身份验证失效。

🔍 **CWE-328**：使用不可逆的弱哈希算法存储密码。 📍 **缺陷点**：密码哈希生成逻辑过于简单，缺乏盐值或迭代保护。

🏭 **厂商**：德国西克 (SICK AG)。 📦 **产品**：SICK DL100-2xxxxxxx 系列传感器。

🔓 **权限**：获取**高权限**访问（CVSS 评分极高）。 📊 **数据**：完全泄露（C:H）、篡改（I:H）、拒绝服务（A:H）。

📉 **门槛低**：攻击向量网络（AV:N）。 🔑 **无需认证**：无需用户交互（UI:N），无需特权（PR:N），直接远程利用。

🚫 **无现成 Exp**：数据中 `pocs` 为空数组。 ⚠️ **在野利用**：未提及，但鉴于 CVSS 高分，风险极高。

🔎 **自查**：检查设备是否属于 **SICK DL100-2xxxxxxx** 系列。 📡 **扫描**：针对 SICK 工业传感器端口进行指纹识别。

🛡️ **官方公告**：已发布 CSAF 白色文件 (sca-2025-0004)。 📝 **状态**：建议参考 SICK PSIRT 网站获取最新缓解措施。

🛑 **临时规避**：隔离设备至**安全网络区域**。 🔒 **限制访问**：严格限制对传感器管理接口的**网络访问权限**。

🔥 **优先级：极高**。 ⚡ **理由**：CVSS 3.1 满分风险（C:H/I:H/A:H），无需认证即可远程利用，工业控制环境风险巨大。