CVE-2026-1749 — 神龙十问 AI 深度分析摘要

🚨 **漏洞本质**：访问控制缺失。 💥 **后果**：攻击者可**未认证**直接拿**管理员权限**。 ⚠️ 系统核心安全防线被绕过！

🔍 **根本原因**：访问控制逻辑缺陷。 📌 对应 **CWE**：权限管理不当（如CWE-284）。 🧱 缺陷点：接口未校验身份 → 权限提升。

🎯 **影响产品**：海康威视 **HikCentral Professional**。 📅 **受影响版本**：描述未列明细，仅指“某些版本”。 🧩 **涉及组件**：核心管理平台（含权限模块）。

👤 **黑客可获**：**管理员权限**（最高权）。 📂 **能访问**：系统全部功能 & 敏感数据。 🚫 **无认证要求** → 直接控制设备/平台！

🟢 **利用门槛低**！ - ✅ **无需认证**（PR:N） - 🌐 **网络可达即可**（AV:N） - ⚙️ **复杂度中低**（AC:H） - 🕹️ **无需交互**（UI:N）

❌ **暂无公开PoC**。 📭 **POC列表为空**。 📉 **在野利用未知**（数据未提）。

🔍 **自查方向**： - 检查是否运行 **HikCentral Professional**。 - 核对版本是否在厂商通告范围。 - 用流量监控看**未登录请求**能否调用管理接口。 🛠️ 暂无专用扫描工具（PoC空）。

🛡️ **官方已回应**： ✅ 发布安全公告（[参考链接](https://www.hikvision.com/en/support/cybersecurity/security-advisory/security-vulnerability-in-hikcentral-professional/)）。 📦 **补丁状态**：通告提及修复，但未给明细版本号。

⚠️ **无补丁前**： - 🔐 **限制访问源IP**（最小化暴露面）。 - 🚪 **关闭外网映射**（尤其管理端口）。 - 👀 **启用日志审计**（异常权限调用告警）。 💡 临时筑墙，降低风险！

🚨 **优先级：极高**！ - 🎯 可直接夺**管理员权**。 - 🌐 网络可达即中招。 - 📈 CVSS 虽无I/A分，但C:H → **机密性全失**。 ⏰ 立刻核查 & 防护！