CVE-2025-7390 — 神龙十问 AI 深度分析摘要

🚨 **本质**：客户端证书信任检查被绕过。 📉 **后果**：攻击者可伪装成合法客户端，直接接入系统，导致**机密性**和**完整性**严重受损。

🔍 **CWE-295**：不正确的证书验证。 🐛 **缺陷点**：软件未严格校验客户端证书的有效性，导致信任链断裂。

🏭 **厂商**：Softing Industrial Automation。 📦 **产品**：edgeConnector（云端链接软件）。 ⚠️ **注意**：数据中提及组件为 **OPC UA C++ SDK**，需确认具体受影响版本。

🕵️ **权限**：无需认证即可连接。 💾 **数据**：可读取高敏感数据（C:H），并可篡改数据（I:H），但暂不影响服务可用性（A:N）。

📉 **门槛极低**。 ✅ **无需认证**（PR:N）。 ✅ **无需用户交互**（UI:N）。 ✅ **网络远程利用**（AV:N）。 ✅ **攻击复杂度低**（AC:L）。

🚫 **暂无公开Exp**。 📂 **PoC**：数据中 `pocs` 字段为空，目前无已知在野利用代码。

🔍 **自查重点**：检查是否部署了 Softing edgeConnector。 🛡️ **扫描策略**：针对 OPC UA 服务进行证书验证逻辑测试，或扫描特定端口是否存在信任绕过特征。

📅 **发布时间**：2025-08-21。 🔗 **官方源**：Softing PSIRT 已发布详细报告（JSON/HTML格式），建议立即访问官网获取补丁或缓解措施。

🛡️ **临时规避**： 1. 严格限制网络访问，仅允许受信任IP。 2. 在网关层强制实施额外的**客户端证书双向认证（mTLS）**。 3. 监控异常连接行为。

🔥 **优先级：高**。 💡 **理由**：CVSS 评分高（C:H, I:H），且无需认证即可远程利用。工业环境一旦数据被篡改后果严重，建议**立即评估并修复**。