CVE-2026-25803 — 神龙十问 AI 深度分析摘要

🚨 **本质**：首次初始化时自动创建含**已知默认凭据**的管理账户。 💥 **后果**：攻击者可轻易获取**完全管理控制权**，系统形同虚设。

🛡️ **CWE-798**：使用不可恢复的默认凭证。 🔍 **缺陷点**：代码逻辑缺陷，未强制用户在首次登录时修改密码，直接暴露后门。

📦 **产品**：3DP-MANAGER（代理工具）。 👤 **厂商**：DenPiligrim（个人开发者）。 📉 **版本**：**2.0.1** 及之前所有版本。

🔑 **权限**：获得**完全管理控制权**（CVSS A:H）。 📂 **数据**：可读取/篡改所有数据（CVSS C:H/I:H），无限制访问。

🚪 **门槛极低**。 ✅ **无需认证**（PR:N）。 ✅ **无需用户交互**（UI:N）。 ✅ **网络远程利用**（AV:N）。 ✅ **攻击复杂度低**（AC:L）。

📄 **PoC**：数据中未提供公开 PoC。 🌍 **在野利用**：暂无明确在野利用报告，但利用难度极低，风险极高。

🔍 **自查特征**：检查是否使用 **2.0.1** 或更早版本。 🛠️ **扫描**：检测是否存在默认管理账户且未修改密码的情况。 🔗 **参考**：GitHub Advisory GHSA-5x57-h7cw-9jmw。

🔧 **官方修复**：已发布安全公告及代码修复提交（Commit f568de4）。 📌 **行动**：请立即升级至修复后的最新版本。

⚠️ **临时规避**：若无法升级，务必在初始化后**立即修改默认管理员密码**。 🔒 **网络隔离**：限制对 3DP-MANAGER 服务的网络访问权限。

🔥 **优先级：极高**。 📊 **CVSS**：9.8（Critical）。 💡 **建议**：立即修复！这是典型的“开箱即被黑”漏洞，无需任何技巧即可接管系统。