CVE-2025-6560 — 神龙十问 AI 深度分析摘要

🚨 **本质**：敏感信息泄露漏洞。 💥 **后果**：未授权攻击者可直接获取**明文管理员凭据**，彻底丧失设备控制权。

🛡️ **CWE**：CWE-256（未保护的敏感信息存储/传输）。 🔍 **缺陷点**：路由器固件或配置接口未对管理员密码进行加密保护，直接以明文形式暴露。

📦 **厂商**：Sapido。 📋 **受影响型号**：BR071n, BR261c, BR270n, BR476n, BRC70n, BRC70x, BRC76n, BRD70n, BRE70n, BRE71n, BRF61c, BRF71n。

🕵️ **黑客能力**： 1. 获取**管理员账号/密码**。 2. 登录后台修改配置、劫持流量。 3. 完全控制路由器，作为内网跳板。

📉 **利用门槛**：**极低**。 🔓 **认证**：无需认证（PR:N）。 🌐 **访问**：远程网络可达即可（AV:N）。 ⚡ **复杂度**：低（AC:L）。

🧪 **Exp/PoC**：当前数据中 **无** 公开 PoC 或 POC 文件。 🌍 **在野利用**：暂无明确在野利用报告，但鉴于利用简单，风险极高。

🔍 **自查方法**： 1. 登录受影响路由器后台。 2. 检查配置文件或管理页面，看密码是否以**明文**显示。 3. 抓包分析管理接口通信，确认密码是否加密传输。

🛠️ **官方修复**：数据中 **未提及** 具体补丁版本或修复链接。 📅 **发布时间**：2025-06-24，建议立即联系厂商 Sapido 获取固件更新。

🚧 **临时规避**： 1. **修改默认密码**为高强度复杂密码。 2. **禁用**远程管理功能，仅允许局域网访问。 3. 更新固件至最新可用版本（若有）。

⚠️ **优先级**：**紧急 (Critical)**。 📊 **CVSS**：9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。 💡 **建议**：立即隔离受影响设备，优先更新固件或实施网络访问控制。