CVE-2024-8887 — 神龙十问 AI 深度分析摘要

🚨 **本质**：登录认证机制被绕过。 💥 **后果**：攻击者可完全控制设备，执行所有网页功能。

🔍 **CWE**：CWE-1284。 📍 **缺陷点**：登录页面的**认证逻辑**存在缺陷，未正确验证身份。

🏭 **厂商**：CIRCUTOR。 📦 **产品**：Q-SMT 工业硬件设备。 📌 **版本**：**1.0.4** 版本受影响。

🔓 **权限**：拥有**网络访问权限**即可。 📊 **数据/操作**：可交互设备所有**网页级别功能**，权限极高。

📉 **门槛**：**极低**。 🔑 **条件**：无需认证 (PR:N)，无需用户交互 (UI:N)，攻击复杂度低 (AC:L)。

🧪 **PoC**：数据中 **无** 现成 PoC 列表。 🌍 **在野**：暂无公开在野利用报告。

🔎 **自查**：检查设备是否为 CIRCUTOR Q-SMT 1.0.4。 🌐 **扫描**：尝试访问登录页，观察是否存在绕过逻辑或默认凭证。

🛡️ **补丁**：参考链接指向 Incibe-CERT 公告，建议联系厂商获取**官方修复方案**。

🚧 **临时规避**：严格限制设备**网络访问权限**，隔离至内网，禁止公网暴露。

⚡ **优先级**：**紧急**。 📈 **CVSS**：9.8 (Critical)。 📝 **建议**：立即隔离并升级固件，防止工业控制设备被完全接管。