一、 漏洞 CVE-2025-54322 基础信息
漏洞信息
# N/A
## 漏洞概述
Xspeeder SXZOS 在版本 2025-12-26 及之前存在远程代码执行漏洞,攻击者可通过 `vLogin.py` 脚本的 `chkid` 参数注入 base64 编码的 Python 代码,实现以 root 权限执行任意命令。
## 影响版本
- Xspeeder SXZOS 版本:2025-12-26 及之前版本
## 漏洞细节
- 漏洞文件:`vLogin.py`
- 攻击向量:通过 `chkid` 参数注入 base64 编码的 Python 脚本
- 辅助参数:`title` 和 `oIP` 参数也参与构造攻击请求
- 利用方式:远程无需认证即可触发,可获得服务器端 root 权限
## 漏洞影响
成功利用该漏洞可导致攻击者完全控制受影响系统,造成数据泄露、系统篡改、拒绝服务等严重后果。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Xspeeder SXZOS through 2025-12-26 allows root remote code execution via base64-encoded Python code in the chkid parameter to vLogin.py. The title and oIP parameters are also used.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
动态执行代码中指令转义处理不恰当(Eval注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Xspeeder SXZOS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Xspeeder SXZOS是中国神行者(Xspeeder)公司的一个嵌入式网络设备固件。 Xspeeder SXZOS 2025-12-26及之前版本存在安全漏洞,该漏洞源于vLogin.py中chkid参数存在base64编码的Python代码,可能导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-54322 的公开POC
三、漏洞 CVE-2025-54322 的情报信息
标题: 神行者 -- 🔗来源链接
标签:
神龙速读:### 关键信息提取 - **公司名称:** SXZ神行者 - **首页标题:** 游戏加速器 - 内容: 遍布全国各地的多线机房,智能切换加速链路,低延迟、更高效 - **下载选项:** 提供了"立即下载"的按钮 - **解决方案种类:** 1. SD-WAN组网解决方案 1. 智慧酒店解决方案 1. 神行者智慧桌面解决方案 1. 高校联合运营解决方案
- https://pwn.ai/blog/cve-2025-54322-zeroday-unauthenticated-root-rce-affecting-70-000-hosts
- https://nvd.nist.gov/vuln/detail/CVE-2025-54322
四、漏洞 CVE-2025-54322 的评论
暂无评论