CVE-2025-9574 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:访问控制错误,缺少关键功能身份验证。 💥 **后果**:攻击者可完全控制设备,导致机密性、完整性、可用性全面崩溃。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE-306**:缺少身份验证。 🔍 **缺陷点**:关键功能未校验用户权限,直接暴露给未授权访问。
Q3影响谁?(版本/组件)
🏭 **厂商**:ABB(瑞士)。 📦 **产品**:ALS-mini-s4 IP 和 ALS-mini-s8 IP(智能负载管理控制器)。
Q4黑客能干啥?(权限/数据)
👮 **权限**:无限制访问。 📊 **数据**:可读取、修改、删除关键配置及数据,甚至破坏系统运行。
Q5利用门槛高吗?(认证/配置)
📉 **门槛极低**。 🔓 **认证**:无需任何认证(PR:N)。 🌐 **网络**:网络可达即可(AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **暂无公开Exp**。 📄 **PoC**:数据中未提供现成利用代码。 🌍 **在野**:暂无在野利用报告。
Q7怎么自查?(特征/扫描)
🔍 **扫描特征**:检测对ALS-mini-s4/s8 IP的关键接口发起无认证请求。 📡 **响应**:观察是否返回成功响应或敏感配置信息。
Q8官方修了吗?(补丁/缓解)
📅 **发布时间**:2025-10-20。 🔗 **参考**:官方文档链接已提供,建议立即查阅ABB安全公告获取补丁或缓解措施。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**: 1. **网络隔离**:将该设备置于受信任VLAN,禁止公网访问。 2. **防火墙**:限制仅允许管理IP访问特定端口。 3. **强认证**:若固件支持,立即启用强密码和MFA。
Q10急不急?(优先级建议)
🔥 **优先级:极高**。 📈 **CVSS 9.8**:高危。 ⚠️ **建议**:因无需认证且影响全面,需**立即**采取缓解措施并申请补丁。