CVE-2025-46412 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Web服务器功能保护不当。<br>🔥 **后果**:攻击者可**绕过身份验证**,直接访问敏感功能。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE-288**:认证绕过。<br>🔍 **缺陷点**:Web服务器未正确实施访问控制逻辑。
Q3影响谁?(版本/组件)
🏭 **厂商**:Vertiv。<br>📦 **产品**:Liebert RDU101(通信卡)、Liebert UNITY(网卡/环境传感器接口)。
Q4黑客能干啥?(权限/数据)
💻 **权限**:无需认证即可操作。<br>📂 **数据**:可获取环境传感器数据、控制第三方接口协议,甚至完全接管设备。
Q5利用门槛高吗?(认证/配置)
📉 **门槛极低**。<br>✅ **无需认证**:PR:N(无需权限)。<br>🌐 **无需交互**:UI:N(无需用户界面)。<br>📡 **远程利用**:AV:N(网络攻击)。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **暂无**。<br>📝 **状态**:数据中 `pocs` 为空,暂无公开 PoC 或确认的在野利用。
Q7怎么自查?(特征/扫描)
🔍 **扫描特征**:检测 Liebert RDU101/UNITY 的 Web 服务端口。<br>🧪 **测试**:尝试直接访问管理接口,观察是否弹出登录框(若无则高危)。
Q8官方修了吗?(补丁/缓解)
🛠️ **官方渠道**:Vertiv 安全支持中心。<br>📢 **CISA 警报**:已发布 ICSA-25-140-10 建议,请关注官方补丁更新。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:<br>1. **网络隔离**:将设备置于受限 VLAN,禁止公网访问。<br>2. **防火墙**:仅允许受信任 IP 访问 Web 管理端口。
Q10急不急?(优先级建议)
🔴 **极度紧急**。<br>📊 **CVSS 9.8**:高危。<br>⚡ **理由**:远程、无需认证、影响完整性/机密性/可用性。建议立即隔离并申请补丁。