CVE-2020-35338 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Web管理界面存在**默认账户**，密码硬编码为“pokon”。 💥 **后果**：攻击者可无需认证直接登录后台，完全控制设备。

🛡️ **CWE**：数据中未提供具体CWE ID。 🔍 **缺陷点**：**信任管理问题**。未移除或修改出厂默认凭证，导致身份验证失效。

📦 **受影响产品**：Mobile Viewpoint Wireless Multiplex Terminal。 🏢 **厂商**：荷兰 Mobile Viewpoint 公司。 📌 **组件**：基于无线复用技术的宽带聚合设备。

🕵️ **权限**：获得**Web管理界面**的完全访问权限。 📂 **数据**：可配置设备、查看网络状态、可能影响视频服务质量及带宽聚合功能。

🚪 **利用门槛**：**极低**。 ✅ **认证**：无需任何认证，直接访问Web界面即可。 ⚙️ **配置**：只要设备未修改默认密码，即可直连利用。

💻 **PoC**：有现成模板。 🔗 **来源**：ProjectDiscovery nuclei-templates 提供 YAML 检测模板。 🌍 **在野**：数据未明确提及大规模在野利用，但PoC已公开。

🔍 **自查方法**： 1. 尝试访问设备Web管理界面。 2. 使用用户名（通常隐含或默认）和**密码“pokon”**尝试登录。 3. 使用 Nuclei 扫描模板 `CVE-2020-35338.yaml` 进行批量检测。

🩹 **补丁状态**：数据中**未提供**官方补丁链接或具体修复版本信息。 ⚠️ 建议联系厂商 Mobile Viewpoint 获取最新固件更新。

🛡️ **临时规避**： 1. **立即修改**默认密码“pokon”。 2. 若无法修改，**禁用**Web管理界面的远程访问。 3. 将管理端口限制在**内网**，禁止暴露于公网。

🔥 **优先级**：**高**。 💡 **理由**：默认密码漏洞极易被自动化脚本扫描利用，无需任何技巧即可接管设备。建议**立即整改**默认凭证。