CVE-2026-25848 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:JetBrains Hub 存在**访问控制错误**。 🔥 **后果**:攻击者可**绕过身份验证**,直接执行**管理操作**,彻底失控。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE-306**:缺少对关键操作的身份验证检查。 🔍 **缺陷点**:核心逻辑未验证用户权限,导致**未授权访问**。
Q3影响谁?(版本/组件)
📦 **厂商**:JetBrains。 📉 **版本**:JetBrains Hub **2025.3.119807 之前**的所有版本。
Q4黑客能干啥?(权限/数据)
👑 **权限**:获取**管理员权限**。 💾 **数据**:可操控团队工具集成,风险极高(CVSS **C:H, I:H**)。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛低**:CVSS 显示 **PR:N**(无需权限)。 🌐 **远程**:AV:N(网络攻击),无需用户交互(UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **无公开 Exp**:数据中 `pocs` 为空数组。 🕵️ **在野**:暂无在野利用报告,但风险已定级为高。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查 Hub 版本是否 < **2025.3.119807**。 📡 **扫描**:监测对管理接口的**未授权请求**异常。
Q8官方修了吗?(补丁/缓解)
✅ **已修复**:官方已发布安全公告。 🔧 **方案**:升级至 **2025.3.119807** 或更高版本。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**:若无法升级,立即**隔离** Hub 实例。 🚪 **网络**:限制对管理端口的**外部访问**,仅内网信任 IP。
Q10急不急?(优先级建议)
🔴 **优先级:高**。 ⚠️ **理由**:CVSS 评分高,**远程无认证**即可提权,建议**立即**升级。