CVE-2025-54123 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Hoverfly 中间件 API 存在 **命令注入** 漏洞。 💥 **后果**:攻击者可实现 **远程代码执行 (RCE)**,彻底接管服务器。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-20 (输入验证不足)。 📍 **缺陷点**:`/api/v2/hoverfly/middleware` 接口未严格校验 `binary` 和 `script` 参数,导致恶意命令被直接执行。
Q3影响谁?(版本/组件)
📦 **厂商**:SpectoLabs。 📉 **版本**:**Hoverfly 1.11.3 及之前版本** 均受影响。
Q4黑客能干啥?(权限/数据)
👑 **权限**:以 **服务运行权限** 执行任意系统命令。 📂 **数据**:可读取/修改服务器所有文件,甚至横向移动控制内网。
Q5利用门槛高吗?(认证/配置)
🔓 **门槛**:**极低**。 ✅ **无需认证** (PR:N)。 ✅ **无需用户交互** (UI:N)。 ✅ **网络可达** (AV:N) 即可利用。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp**:**有**。 🔗 Nuclei 模板已发布:`CVE-2025-54123.yaml`,自动化扫描工具可直接检测。
Q7怎么自查?(特征/扫描)
🔎 **自查**: 1. 检查 Hoverfly 版本是否 ≤ 1.11.3。 2. 扫描 `/api/v2/hoverfly/middleware` 接口。 3. 使用 Nuclei 模板进行批量探测。
Q8官方修了吗?(补丁/缓解)
🛡️ **修复**:**已修复**。 🔗 官方已发布安全公告 (GHSA-r4h8-hfp2-ggmf) 及代码补丁 (Commit 17e60a9...)。建议立即升级。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. **禁用中间件功能**(如果不使用)。 2. 在 WAF/防火墙层 **拦截** `/api/v2/hoverfly/middleware` 请求。 3. 严格限制该端口仅内网可信 IP 访问。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 ⚠️ CVSS 评分 **9.8** (极高)。 ⚠️ 无认证即可 RCE,建议 **立即升级** 或实施网络隔离。