CVE-2026-25505 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Bambuddy 存在硬编码密钥及路由未校验身份验证。 💥 **后果**：攻击者可完全控制自托管打印管理系统，导致数据泄露或服务中断。

🔍 **CWE-306**：缺少身份验证。 📍 **缺陷点**： 1. **硬编码密钥**：密钥直接写在代码里。 2. **ManyAPI路由**：未检查用户身份即可访问。

📦 **产品**：Bambuddy (3D打印机自托管管理系统)。 👤 **开发者**：MartinNYHC (GitHub用户 maziggy)。 📉 **版本**：**0.1.7 之前**的所有版本。

🔓 **权限**：无需认证即可访问敏感API。 📊 **数据**：可读取、修改甚至删除打印任务及系统配置。 🛠️ **影响**：CVSS评分极高 (H/H/H)，可能导致物理打印设备被恶意操控。

📉 **门槛极低**。 ✅ **无需认证**：攻击者无需登录账号。 ✅ **无需UI交互**：直接通过API路由即可利用。 🌐 **网络可达**：只要网络暴露，即可远程利用。

🚫 **暂无公开PoC**：漏洞数据中 `pocs` 字段为空。 📢 **但在野风险**：漏洞细节已公开 (GHSA & GitHub PR)，黑客可快速自行编写利用脚本。

🔎 **自查特征**： 1. 检查代码中是否存在**硬编码密钥**。 2. 审查 `/api` 或类似路由，确认是否缺少 **Auth Middleware**。 3. 扫描 GitHub 仓库提交记录，看是否包含 `auth.py` 相关修复。

✅ **已修复**。 🔗 **补丁来源**：GitHub Pull Request #225 及后续 Commit。 📅 **披露时间**：2026-02-04 发布安全公告。建议立即升级至修复版本。

🛡️ **临时规避**： 1. **网络隔离**：将 Bambuddy 部署在内网，禁止公网访问。 2. **反向代理**：配置 Nginx/Caddy 强制要求 HTTP Basic Auth 或 JWT 验证。 3. **移除路由**：若无法升级，暂时注释掉未鉴权的 ManyAPI 路由。

🔥 **优先级：紧急 (Critical)**。 ⚠️ **理由**：CVSS 向量显示攻击向量网络 (AV:N)、复杂度低 (AC:L)、无需权限 (PR:N)。 🚀 **行动**：立即升级版本或实施网络隔离，防止3D打印机被恶意劫持。