CVE-2025-60949 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:敏感配置文件泄露。 💥 **后果**:攻击者无需登录即可获取**密钥**,导致系统安全性彻底崩塌。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE-200**:信息泄露。 🔍 **缺陷点**:`app/config` 路径在部分部署中**未做访问控制**,直接通过 HTTP 暴露。
Q3影响谁?(版本/组件)
📦 **产品**:CSPro Users CSWeb。 🏢 **厂商**:Census (CSPro Users)。 📌 **版本**:仅 **8.0.1** 受影响。
Q4黑客能干啥?(权限/数据)
🕵️ **权限**:**无需身份验证** (PR:N)。 📂 **数据**:读取配置文件,获取**泄露的密钥**,可能进一步控制数据或传输通道。
Q5利用门槛高吗?(认证/配置)
📉 **门槛极低**。 ✅ **无需认证**。 ✅ **无需用户交互**。 ✅ **网络可达即可** (AV:N, AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
📂 **有参考**:GitHub 上有相关 exploit 仓库 (`hx381/cspro-exploits`)。 ⚠️ **注意**:官方记录中 PoC 列表为空,但社区已有利用代码。
Q7怎么自查?(特征/扫描)
🔍 **自查方法**: 1. 尝试访问 `http://target/app/config`。 2. 检查是否返回 JSON/XML 配置内容。 3. 确认是否包含敏感密钥字段。
Q8官方修了吗?(补丁/缓解)
🔧 **已修复**:官方 GitHub 提交 `eba0b59` 已修复此问题。 📅 **发布时间**:2026-03-23 公布。
Q9没补丁咋办?(临时规避)
🚫 **临时规避**: 1. **Web 服务器配置**:禁止外部访问 `/app/config` 路径。 2. **防火墙**:限制对配置目录的 HTTP 请求。 3. **升级**:尽快升级至修复版本。
Q10急不急?(优先级建议)
🔥 **优先级:高**。 📈 **CVSS**:7.5 (High)。 ⚡ **理由**:远程、无认证、高机密性/完整性影响。建议**立即**排查并修复。