CVE-2025-29902 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未授权远程代码执行（RCE）<br>📉 **后果**：攻击者可完全控制服务器，导致系统崩溃、数据泄露或被植入后门。

🔍 **CWE-94**：代码注入缺陷<br>⚠️ **缺陷点**：服务端未对输入进行严格过滤，允许恶意代码直接执行。

🏢 **厂商**：Telex / RTS<br>📦 **组件**：<br>1. Telex Remote Dispatch Console Server<br>2. RTS VLink Virtual Matrix Software

👑 **权限**：最高权限（任意代码执行）<br>💾 **数据**：可读取/篡改所有服务器数据，甚至控制整个矩阵对讲系统。

📶 **门槛极低**<br>🔓 **认证**：无需认证（PR:N）<br>🌐 **网络**：网络可达即可（AV:N）<br>👤 **交互**：无需用户交互（UI:N）

🚫 **暂无公开Exp**<br>📝 **状态**：PoC列表为空，但CVSS评分极高，高危漏洞通常很快会出现利用代码。

🔎 **自查方法**：<br>1. 扫描是否存在 Telex/RTS 相关服务端口<br>2. 检查版本是否受影响<br>3. 监控异常的系统进程调用（代码注入特征）

🛡️ **官方建议**：<br>📄 参考 Bosch PSIRT 公告 (BOSCH-SA-992447)<br>⬇️ **行动**：立即联系厂商获取最新补丁或固件更新。

🛑 **临时规避**：<br>1. **网络隔离**：禁止公网访问该服务<br>2. **访问控制**：仅允许受信任IP访问<br>3. **WAF防护**：拦截可疑的代码注入请求

🔥 **优先级：极高**<br>📊 **CVSS 10.0**：满分高危<br>⏳ **建议**：立即修复！无需认证即可远程接管服务器，风险极大。