CVE-2025-47699 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Gallagher Morpho集成模块存在**敏感系统信息暴露**。 💥 **后果**：攻击者可利用泄露信息发起**未经授权的关键更改**，严重威胁建筑基础设施安全。

🔍 **CWE**：**CWE-497**（敏感信息在错误位置暴露）。 📍 **缺陷点**：Gallagher Command Centre Server 与 **Morpho** 集成过程中，未能妥善保护系统敏感数据。

🏢 **产品**：Gallagher Command Centre Server。 📦 **受影响版本**： • 9.30 系列 (< vEL9.30.2482) • 9.20 系列 (< vEL9.20.2819) • 9.10 系列 (< vEL9.10.3672) • 9.00 系列 (< vEL9.0) ⚠️ 注意：包含9.00在内的多个旧版本均中招。

🕵️ **黑客能力**： • **读取**：获取高敏感度的系统内部信息。 • **篡改**：基于泄露信息进行**关键配置或权限的未授权修改**。 📊 **CVSS评分**：高危（C:H/I:H/A:H），影响机密性、完整性和可用性。

🔐 **利用门槛**：**中等**。 • **网络访问**：AV:N（网络可攻击）。 • **认证要求**：PR:L（需要**低权限认证**，非完全匿名）。 • **交互**：UI:N（无需用户交互）。 💡 需具备基础账户权限即可触发。

📦 **Exp/PoC**：当前数据中 **无现成PoC**（pocs为空）。 🌍 **在野利用**：暂无公开在野利用报告。 ⚠️ 但鉴于CVSS评分高，需警惕后续利用工具出现。

🔎 **自查方法**： 1. **版本核查**：检查服务器是否为 9.00-9.30 之间的受影响版本。 2. **日志审计**：监控 Morpho 集成相关的异常日志，特别是敏感信息访问记录。 3. **配置扫描**：确认集成模块是否开启了不必要的信息泄露接口。

🛡️ **官方修复**： ✅ 已发布安全公告（2025-10-23）。 📥 **修复方案**：升级至指定修复版本以上（如 9.30 需升级至 vEL9.30.2482 或更高）。 🔗 参考：Gallagher 官方安全公告链接。

🚧 **临时规避**（若无补丁）： 1. **最小权限**：严格限制访问 Command Centre Server 的账户权限。 2. **网络隔离**：将 Morpho 集成模块置于内网隔离区，限制外部访问。 3. **监控告警**：对敏感系统信息的访问行为设置实时告警。

⚡ **优先级**：**高**。 • CVSS 向量显示高完整性/可用性风险。 • 建筑基础设施安全至关重要。 👉 **建议**：立即评估版本，尽快安排升级或实施缓解措施。