CVE-2025-48017 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径名限制不当（Path Traversal）。<br>🔥 **后果**：攻击者可非法**修改**或**上传**文件，彻底破坏系统完整性。

🛡️ **CWE-22**：路径遍历漏洞。<br>🔍 **缺陷点**：软件未正确验证用户输入的文件路径，导致可访问非预期目录。

🏭 **厂商**：Schweitzer Engineering Laboratories (SEL)。<br>💻 **产品**：SEL Series 系列软件/固件，特别是 **SEL-5056 Software-Defined Network Flow Controller**。

👑 **权限**：无需认证（PR:N），远程即可触发。<br>💾 **数据**：可高概率获取敏感信息（C:H），任意修改系统文件（I:H），导致服务不可用（A:H）。

📉 **门槛**：中等（AC:H）。<br>⚙️ **配置**：无需用户交互（UI:N），但利用条件有一定复杂度，非一键脚本。

🚫 **Exp**：目前 **无** 公开 PoC 或现成利用代码。<br>🌍 **在野**：暂无在野利用报告。

🔍 **自查**：检查 SEL-5056 控制器版本。<br>📡 **扫描**：关注涉及文件上传/修改接口的异常请求，特别是包含 `../` 的路径参数。

📦 **补丁**：官方已发布安全公告。<br>🔗 **链接**：访问 SEL 官网软件版本页面获取最新修复版本。

🛡️ **临时规避**：限制对 SEL-5056 管理接口的网络访问。<br>🚫 **最小权限**：严格管控文件上传功能，禁用不必要的目录遍历权限。

🔥 **优先级**：**高**。<br>⚠️ **理由**：CVSS 评分极高（全项 H），且无需认证。虽利用有门槛，但后果严重，建议立即评估并升级。