CVE-2025-0680 — 神龙十问 AI 深度分析摘要

🚨 **本质**：操作系统命令注入（OS Command Injection）。 🔥 **后果**：攻击者可完全控制连接到云端的任意设备，导致系统被接管。

🛡️ **CWE**：CWE-78（OS命令注入）。 🔍 **缺陷**：设备在处理输入时未正确过滤或转义，导致恶意命令被执行。

🏢 **厂商**：New Rock Technologies（中国迅时通信）。 📦 **产品**：New Rock Cloud Connected Devices 系列，特别是 **OM500 IP-PBX**。

💀 **权限**：最高权限（Root/System级）。 📊 **数据**：可读取、修改或删除设备上的所有数据，甚至控制硬件。

⚡ **门槛**：极低。 🔓 **条件**：无需认证（PR:N），无需用户交互（UI:N），网络可达即可（AV:N）。

🧪 **Exp**：数据中未提供现成 PoC 或 Exp。 🌍 **在野**：暂无公开在野利用报告，但风险极高。

🔍 **自查**：扫描是否存在 New Rock OM500 设备。 📡 **特征**：检查设备是否连接至 New Rock Cloud，并测试输入过滤机制。

🛠️ **补丁**：数据中未提及官方补丁或缓解措施。 ⏳ **状态**：需关注厂商后续公告（2025-01-30 发布）。

🚧 **规避**：隔离设备网络，限制对云服务的访问。 🔒 **策略**：实施严格的网络分段，防止攻击者横向移动。

🔴 **优先级**：极高（CVSS 9.8）。 ⚠️ **建议**：立即下线或隔离受影响设备，直到官方发布修复方案。