CVE-2026-34275 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Oracle Advanced Inbound Telephony 的 Setup and Administration 组件存在安全缺陷。 💥 **后果**：未经身份验证的攻击者可直接通过网络接管产品，系统完全沦陷。

🔍 **缺陷点**：源于 **Setup and Administration** 组件的配置或逻辑问题。 ⚠️ **CWE**：数据中未提供具体 CWE 编号，但属于典型的 **未授权访问/配置错误** 类漏洞。

🏢 **厂商**：Oracle Corporation。 📦 **产品**：Oracle Advanced Inbound Telephony（呼叫中心来电处理系统）。 📅 **版本**：**12.2.3** 至 **12.2.15** 版本均受影响。

👑 **权限**：攻击者无需登录即可获取 **最高控制权**（接管产品）。 📊 **数据**：CVSS 显示 **C:H, I:H, A:H**，意味着机密性、完整性、可用性均遭受 **完全破坏**。

🚪 **认证**：**无需身份验证** (PR:N)。 🌐 **网络**：远程可利用 (AV:N)。 🎯 **复杂度**：**低** (AC:L)。 👤 **交互**：**无需用户交互** (UI:N)。 📉 **总结**：利用门槛极低，极易被自动化脚本攻击。

🧪 **PoC**：数据中 **pocs 为空**，暂无公开的具体利用代码。 🌍 **在野**：数据未提及在野利用情况，但鉴于 CVSS 10.0 分，需高度警惕。

🔎 **自查**：检查系统版本是否在 **12.2.3 - 12.2.15** 区间。 📡 **扫描**：针对 Oracle Advanced Inbound Telephony 的 **Setup and Administration** 接口进行未授权访问测试。

🛡️ **官方修复**：Oracle 已发布安全公告 (CPU Apr 2026)。 🔗 **链接**：https://www.oracle.com/security-alerts/cpuapr2026.html ✅ **建议**：立即查阅官方公告获取补丁或升级指引。

⏸️ **临时规避**： 1. **网络隔离**：限制 Setup and Administration 组件的 **外部网络访问**。 2. **防火墙**：仅允许可信 IP 访问相关管理端口。 3. **监控**：加强对该组件访问日志的审计。

🔥 **优先级**：**紧急 (Critical)**。 📈 **CVSS**：**10.0** (满分)。 💡 **建议**：由于无需认证且可完全接管系统，建议 **立即** 应用补丁或实施网络隔离措施。