CVE-2026-35503 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Web管理界面**身份验证逻辑完全在客户端执行**，依赖**硬编码值**。 💥 **后果**：攻击者可绕过验证，**未经授权访问**管理功能，导致**完全控制**设备。

🛡️ **CWE-798**：使用硬编码凭证。 🔍 **缺陷点**：信任管理失败。关键安全逻辑未在服务端校验，而是暴露给前端/客户端。

📦 **厂商**：SenseLive（日本）。 🏷️ **产品**：**SenseLive X3050**（物联网数据采集与环境监测设备）。

🔑 **权限**：获取**管理员权限**。 📊 **数据**：可读取/修改**物联网监测数据**，甚至控制设备行为。影响**机密性、完整性、可用性**（CVSS H/H/H）。

📉 **门槛极低**。 🔓 **无需认证**：PR:N（无需权限）。 🖱️ **无需交互**：UI:N（无需用户操作）。 🌐 **远程利用**：AV:N（网络攻击）。

🚫 **暂无公开Exp**。 📂 **PoC**：数据中 `pocs` 为空数组。 🌍 **在野利用**：目前无证据表明已在野广泛利用，但风险极高。

🔍 **自查特征**：检查Web管理界面登录逻辑是否依赖**客户端脚本**验证。 📡 **扫描**：尝试使用已知硬编码凭证或抓包分析认证请求是否包含敏感硬编码参数。

📅 **发布时间**：2026-04-23。 🔧 **状态**：CISA已发布ICS advisory (ICSA-26-111-12)。 📝 **建议**：立即联系厂商 SenseLive 获取补丁或固件更新。

🛡️ **临时规避**： 1. **隔离网络**：将X3050置于**隔离VLAN**，禁止公网访问。 2. **访问控制**：仅允许受信任IP访问管理端口。 3. **监控**：密切监控异常管理操作日志。

🔥 **优先级：极高**。 ⚠️ **理由**：CVSS评分满分风险（C:H/I:H/A:H），且**无需认证**即可远程利用。对关键基础设施（ICS）威胁巨大，需**立即响应**。