CVE-2026-1221 — 神龙十问 AI 深度分析摘要

🚨 **本质**：硬编码凭证导致的信任管理失效。 💥 **后果**：攻击者可绕过验证，直接登录数据库，造成**数据泄露**或**系统完全失控**。

🔍 **CWE-798**：使用硬编码凭证。 📍 **缺陷点**：固件中存储了**硬编码的数据库凭据**，且未做动态保护。

📦 **厂商**：Browan Communications。 📱 **产品**：PrismX MX100 AP controller（无线路由器/控制器）。

🔓 **权限**：获得数据库访问权限。 📂 **数据**：可读取、修改或删除数据库内容，可能导致**机密性、完整性、可用性**全部丧失。

⚡ **门槛极低**。 🌐 **远程**：无需本地接触。 🔑 **无需认证**：利用硬编码凭据即可直接登录，**PR:N**（无需权限）。

🚫 **暂无公开Exp**。 📄 **PoC**：数据中 `pocs` 为空，目前无现成利用代码或已知在野利用报告。

🔎 **自查方法**：检查固件中是否包含**硬编码的数据库账号密码**。 📡 **扫描**：尝试使用已知硬编码凭据连接数据库端口。

🛡️ **官方动作**：参考链接指向 **TW-CERT** advisories，建议联系厂商获取补丁或固件更新。 📅 **发布时间**：2026-01-20。

🛑 **临时规避**： 1. **隔离**：将该设备置于隔离网络，限制外部访问。 2. **监控**：监控数据库异常登录行为。 3. **联系**：尽快联系 Browan Communications 获取修复方案。

🔥 **优先级：极高**。 📊 **CVSS 9.8**：满分风险。 ⚠️ **建议**：由于无需认证且影响全面，建议**立即**采取缓解措施或下线，直到补丁可用。