CVE-2023-29121 — 神龙十问 AI 深度分析摘要

🚨 **本质**：TCF代理服务被滥用，导致**管理员权限**泄露。 💥 **后果**：攻击者可完全控制家庭充电站，破坏系统完整性。

🛡️ **CWE-284**：访问控制不当。 🔍 **缺陷点**：**TCF代理服务**缺乏严格验证，成为提权后门。

📦 **厂商**：Enel X。 🔌 **产品**：JuiceBox Pro 3.0 22kW Cellular（Waybox 3.0版本）。

👑 **权限**：获取**管理员权限**。 📊 **数据**：CVSS评分极高（C:H/I:H/A:H），可窃取数据、篡改配置、拒绝服务。

⚡ **门槛**：低。 🔑 **条件**：CVSS显示 **AV:A**（相邻网络）、**PR:N**（无需权限）、**UI:N**（无需交互）。

📜 **Exp**：数据中 **pocs** 为空。 🌍 **在野**：暂无公开在野利用报告，但风险极高。

🔍 **自查**：检查设备是否为 **Waybox 3.0** 或 **JuiceBox Pro 3.0**。 📡 **扫描**：关注 **TCF服务** 端口及异常管理流量。

🩹 **补丁**：官方已发布安全公告（2024-06-02 V1版）。 📄 **参考**：Enel X 官方支持文档已披露缓解措施。

🚧 **临时规避**：若无补丁，需隔离设备网络。 🔒 **限制**：严格限制对 **TCF服务** 的访问，禁用不必要的远程管理功能。

🔥 **优先级**：**紧急**。 ⚠️ **理由**：CVSS **9.8** 分，无需认证即可利用，直接威胁家庭充电基础设施安全。