CVE-2025-46616 — 神龙十问 AI 深度分析摘要
CVSS 9.9 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Quantum StorNext Web GUI API 存在**文件上传**缺陷。 💥 **后果**:攻击者可触发**任意远程代码执行 (RCE)**,彻底接管系统。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-434 (Unrestricted Upload of File with Dangerous Type)。 📍 **缺陷点**:API 在处理上传文件时,未严格校验文件类型或内容,导致恶意载荷被执行。
Q3影响谁?(版本/组件)
🏢 **厂商**:Quantum。 📦 **产品**:StorNext Web GUI API。 ⚠️ **版本**:**7.2.4 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
👑 **权限**:获得**系统级控制权**(RCE)。 📂 **数据**:可完全窃取、篡改或删除所有共享文件及数据管理信息。 🌐 **范围**:CVSS 评分极高 (H/H/H),影响完整性、机密性和可用性。
Q5利用门槛高吗?(认证/配置)
🔑 **认证**:需要 **PR:L** (Low Privileges),即需要**低权限账户**登录。 🖱️ **交互**:无需用户交互 (UI:N)。 🌐 **网络**:远程可攻击 (AV:N)。 📉 **难度**:攻击复杂度低 (AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中 `pocs` 为空,暂无公开代码。 🌍 **在野**:暂无在野利用报告。 ⚠️ **风险**:鉴于 CVSS 向量简单,**0-day 利用风险极高**。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查 StorNext 版本是否 < 7.2.4。 🕸️ **扫描**:检测 Web GUI API 接口是否存在**文件上传**端点。 📝 **日志**:监控异常的文件上传行为或非预期文件类型执行。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:官方已发布安全公告。 ✅ **修复**:升级至 **7.2.4 或更高版本**即可修复此漏洞。…
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. **限制访问**:仅允许受信任 IP 访问 Web GUI。 2. **网络隔离**:将 StorNext 管理接口置于内网,禁止公网直接访问。 3. **最小权限**:确保 API 账户权限最低化。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 💡 **建议**:CVSS 3.1 向量显示危害极大 (C:H/I:H/A:H)。 🏃 **行动**:立即评估版本,若受影响,**优先安排升级**或实施网络隔离。