CVE-2026-35546 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未经验证的身份验证固件上传漏洞。 💥 **后果**：攻击者可植入恶意代码，获取 **反向Shell**，完全控制设备。

🛡️ **CWE-306**：缺少身份验证。 🔍 **缺陷点**：固件上传接口 **未校验** 用户权限，直接允许上传。

📦 **厂商**：Anviz（美国）。 📱 **受影响产品**： - **Anviz CX7**（生物识别+门禁） - **Anviz CX2 Lite**（人脸识别+门禁）

🔓 **权限**：获取 **反向Shell**，相当于最高权限。 💾 **数据**：可执行任意代码，窃取生物特征及门禁数据。

⚡ **门槛极低**。 ✅ **无需认证**（PR:N）。 ✅ **无需交互**（UI:N）。 ✅ **网络可达**（AV:N）即可利用。

❌ **暂无PoC**。 📄 官方参考链接中未提供公开利用代码（pocs为空）。

🔍 **自查方法**： 1. 检查设备是否为 **CX7** 或 **CX2 Lite**。 2. 扫描固件上传接口是否 **无需Token/Session** 即可访问。 3. 尝试上传非固件文件测试响应。

📅 **发布时间**：2026-04-17。 🛠️ **状态**：CISA已发布 advisory (ICSA-26-106-03)，建议联系厂商获取补丁。

🚧 **临时规避**： 1. **隔离**：将设备置于 **内网隔离** 区域。 2. **封禁**：防火墙阻断外部对固件上传端口的访问。 3. **监控**：监控异常固件上传行为。

🔥 **优先级：极高 (CVSS 9.8)**。 ⚠️ **建议**：立即 **下线** 或 **隔离** 受影响设备，直至官方修复。