CVE-2026-25715 — 神龙十问 AI 深度分析摘要

🚨 **本质**：管理员凭据可置空。 💥 **后果**：攻击者无需密码即可登录，直接获取**完全管理控制权**。

🛡️ **CWE-521**：弱密码/默认密码。 🔍 **缺陷点**：系统允许将**管理员用户名和密码设置为空值**，导致认证机制失效。

🏭 **厂商**：Jinan USR IOT (PUSR)。 📦 **产品**：**USR-W610** 串口转以太网转换器。

👑 **权限**：获得**完全管理控制权**。 📂 **数据**：可任意修改配置、读取敏感数据，甚至控制底层设备。

📉 **门槛极低**。 ✅ **无需认证**：攻击者可直接访问。 ⚙️ **无需配置**：利用条件简单，CVSS评分极高。

🚫 **无现成Exp**。 📄 **PoC**：数据中未提供公开利用代码。 🌍 **在野**：暂无公开在野利用报告。

🔍 **自查方法**： 1. 尝试使用**空用户名/空密码**登录Web界面。 2. 检查设备配置是否允许**空凭据**。 3. 扫描开放的管理端口。

📢 **官方已发布**。 📅 **时间**：2026-02-20。 🔗 **来源**：CISA ICSA-26-050-03 advisories。建议立即联系厂商获取补丁。

🛡️ **临时规避**： 1. **强制设置**强密码，禁止留空。 2. **网络隔离**：将设备置于受信任内网，禁止公网访问。 3. **访问控制**：限制管理端口的IP访问。

🔥 **紧急**。 ⚠️ **优先级**：**极高**。 📊 **CVSS**：9.8 (Critical)。 💡 **建议**：立即修复或隔离，防止被自动化脚本扫描利用。