CVE-2023-29118 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Web管理界面存在**SQL注入**漏洞。 📉 **后果**：攻击者可绕过正常逻辑，直接在内部数据库执行任意SQL请求，导致数据泄露或系统被控。

🛡️ **CWE-89**：SQL注入。 🔍 **缺陷点**：`/admin/versions.php` 接口未对用户输入进行严格过滤，直接拼接SQL语句。

📦 **厂商**：Enel X。 🔌 **产品**：JuiceBox Pro 3.0 22kW Cellular（Waybox 3.0版本）。

💣 **权限**：高权限（CVSS评分极高，影响完整性/可用性/机密性均为H）。 📂 **数据**：可读取、修改或删除内部数据库中的**任意数据**。

🚪 **门槛**：低。 🔑 **条件**：无需认证（PR:N），攻击复杂度低（AC:L），本地网络访问即可（AV:A）。

📜 **Exp**：当前公开数据中**暂无**现成PoC或确凿的在野利用报告（pocs为空）。

🔎 **自查**：扫描目标设备是否开放Web管理端口，并尝试访问 `/admin/versions.php` 路径，观察响应是否异常。

🩹 **补丁**：官方已发布安全公告（2024年6月V1版），建议查阅官方支持文档获取修复方案。

🚧 **规避**：若无法立即打补丁，应**隔离**该设备网络，限制对Web管理接口的访问，仅允许受信任IP连接。

🔥 **优先级**：**紧急**。 ⚖️ **理由**：CVSS向量显示影响范围极广（S:C, C:H, I:H, A:H），且无需认证，极易被利用。