CVE-2025-57754 — 神龙十问 AI 深度分析摘要

🚨 **本质**：`.env` 文件泄露敏感 Supabase URI。 💥 **后果**：直接导致数据**渗漏、修改或删除**，后果极其严重。

🔍 **CWE-260**：敏感信息泄露。 📍 **缺陷点**：配置文件中硬编码或错误暴露了数据库连接凭证。

📦 **组件**：`eslint-ban-moment`。 👤 **开发者**：Kristófer Fannar Björnsson。 📅 **版本**：**3.0.0 及之前版本**均受影响。

🔓 **权限**：攻击者获得数据库完全控制权。 💾 **数据**：可执行 **CRUD** 操作（增删改查），甚至删除核心数据。

⚡ **门槛极低**。 🌐 **网络**：远程利用 (AV:N)。 🔑 **认证**：无需认证 (PR:N)。 👀 **交互**：无需用户交互 (UI:N)。

🚫 **无现成 Exp**。 📝 **状态**：PoCs 列表为空，暂无在野利用报告。

🔎 **自查方法**： 1. 检查项目根目录是否有 `.env` 文件。 2. 搜索是否包含 `SUPABASE` 相关 URI 或密钥。 3. 确认敏感配置未提交至 Git 仓库。

🛡️ **已修复**。 🔗 **补丁**：GitHub 提交记录 `bc2d2f9` 已处理。 📜 **公告**：GHSA-2486-4cjg-pw98 已确认修复。

🚧 **临时规避**： 1. **立即移除** `.env` 中的敏感 URI。 2. **轮换**所有已泄露的 Supabase 密钥。 3. 确保 `.env` 加入 `.gitignore`。

🔥 **优先级：极高 (Critical)**。 📊 **CVSS**：9.8 (H/I/A 均为高)。 ⚠️ **建议**：虽然无 Exp，但后果致命，**立即**更新版本或应用缓解措施。