CVE-2025-68435 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:身份验证中间件失效。<br>🔥 **后果**:攻击者可**绕过登录**,直接访问受保护的 API 接口,导致系统被非法控制。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE-305**:身份验证绕过。<br>🔍 **缺陷点**:API 端点未正确应用身份验证中间件,导致安全检查被跳过。
Q3影响谁?(版本/组件)
📦 **产品**:Zerobyte (主机自动备份软件)。<br>👤 **厂商**:nicotsx。<br>⚠️ **版本**:0.18.5 之前版本,以及 0.19.0 之前版本。
Q4黑客能干啥?(权限/数据)
💀 **权限**:获得未授权访问权。<br>📂 **数据**:可读取/修改备份数据(CVSS 显示 C:H, I:H),完全破坏数据机密性与完整性。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛极低**。<br>🔓 **认证**:无需认证 (PR:N)。<br>🌐 **网络**:远程利用 (AV:N)。<br>🧠 **复杂度**:低 (AC:L),无需用户交互 (UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **暂无公开 Exp**。<br>📝 **PoC**:数据中 `pocs` 为空,目前无已知在野利用代码,但风险极高。
Q7怎么自查?(特征/扫描)
🔍 **自查方法**:<br>1. 检查 Zerobyte 版本号是否 < 0.18.5 或 < 0.19.0。<br>2. 审计 API 路由配置,确认是否所有端点都绑定了 Auth 中间件。
Q8官方修了吗?(补丁/缓解)
✅ **已修复**。<br>🔗 **补丁**:参考 GitHub Commit `13e080a`。<br>📌 **建议**:立即升级至受影响版本之后的最新安全版本。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**:<br>1. **网络隔离**:限制 API 端口仅内网访问。<br>2. **WAF 规则**:拦截对敏感 API 的未认证请求。<br>3. **最小权限**:确保备份服务不以高权限运行。
Q10急不急?(优先级建议)
🔴 **紧急**。<br>📈 **优先级**:P0 (最高)。<br>💡 **理由**:CVSS 评分高 (H 级机密/完整性影响),远程无需认证即可利用,极易被自动化脚本扫描利用。