CVE-2025-4555 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Web管理界面**缺少身份验证**。 🔥 **后果**：攻击者可**直接访问**系统功能，无需登录。

🛡️ **CWE-306**：访问控制错误。 🔍 **缺陷点**：管理后台**未校验权限**，直接暴露。

🏢 **厂商**：中国宗煜 (ZONG YU)。 🚗 **产品**：Okcat Parking Management Platform（智能停车综合管理平台）。

👑 **权限**：未经身份验证的**远程访问**。 📂 **数据**：可能导致**高机密性/完整性/可用性**损失（CVSS H/H/H）。

📉 **门槛极低**。 ✅ **无需认证**：PR:N (Privileges Required: None)。 ✅ **无需交互**：UI:N (User Interaction: None)。

🚫 **无现成Exp**：数据中 `pocs` 为空。 ⚠️ **在野利用**：暂无明确在野利用报告，但风险极高。

🔍 **自查方法**：扫描Web管理界面。 👀 **特征**：直接访问管理URL，**无登录弹窗**或验证拦截。

📅 **发布时间**：2025-05-12。 🔗 **参考**：TW-CERT已发布 advisories。 🛠️ **补丁**：数据未提供具体补丁链接，需联系厂商。

🚧 **临时规避**： 1. **网络隔离**：限制管理界面仅内网访问。 2. **WAF防护**：拦截未授权访问请求。 3. **关闭端口**：若无需远程管理，直接封禁。

🔥 **优先级：极高**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H。 💡 **建议**：立即排查并加固，防止**完全控制**。