CVE-2026-2550 — 神龙十问 AI 深度分析摘要

🚨 **本质**：无限制文件上传漏洞。 📉 **后果**：攻击者可上传恶意代码，直接导致**远程执行命令 (RCE)**，设备彻底沦陷。

🔍 **CWE**：CWE-434（无限制的文件上传）。 📍 **缺陷点**：文件 `/cgi/timepro.cgi` 中的函数 `commit_vpncli_file_upload` 缺乏校验。

📱 **厂商**：EFM (韩国)。 📦 **产品**：iptime A6004MX 无线路由器。 🔢 **版本**：明确受影响的为 **14.18.2** 版本。

👑 **权限**：无需认证，直接获取**最高权限**。 💾 **数据**：完全控制设备，可窃取数据、植入后门或发起内网攻击。

📉 **门槛**：**极低**。 🔓 **条件**：CVSS 显示 **无需认证 (PR:N)**，网络可达即可利用，攻击复杂度低 (AC:L)。

🧪 **Exp**：数据中 `pocs` 为空，暂无公开标准 PoC。 ⚠️ **注意**：参考链接提及“Arbitrary File Upload leading to RCE”，暗示利用逻辑已明确，需警惕黑产工具化。

🔍 **自查**：检查路由器固件版本是否为 **14.18.2**。 🌐 **扫描**：监测针对 `/cgi/timepro.cgi` 的异常 POST 请求或大文件上传行为。

🛡️ **补丁**：数据未提供官方补丁链接或修复状态。 📅 **时间**：2026-02-16 公布，建议立即联系厂商 EFM 获取更新。

🚧 **规避**：若无法升级，建议**断开公网访问**。 🚫 **策略**：在防火墙层面限制对路由器管理接口（特别是 CGI 接口）的外部访问。

🔥 **优先级**：**紧急 (Critical)**。 📊 **评分**：CVSS **9.8** (极高危)。 💡 **建议**：立即隔离或升级，此漏洞可直接导致 RCE，风险极大。