CVE-2025-13375 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:IBM 密码平台存在权限提升漏洞。 💥 **后果**:未授权用户可执行任意命令,系统彻底沦陷。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-250**:漏洞发生在特权上下文中。 ⚠️ **缺陷**:安全功能未正确执行,导致权限控制失效。
Q3影响谁?(版本/组件)
🏢 **厂商**:IBM。 📦 **产品**:Common Cryptographic Architecture (CCA)。 📅 **版本**:7.5.52 及 8.4.82。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:从“无权限”直接升至“高权限”。 💻 **动作**:执行任意系统命令。 📂 **数据**:机密性、完整性、可用性全面受损(CVSS H)。
Q5利用门槛高吗?(认证/配置)
🚪 **认证**:无需身份验证(PR:N)。 🌐 **网络**:远程利用(AV:N)。 ⚡ **复杂度**:低(AC:L)。 👤 **交互**:无需用户交互(UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中未提供公开 PoC。 🔥 **在野**:暂无在野利用报告。 ⚠️ **注意**:低利用门槛意味着 Exp 极易编写。
Q7怎么自查?(特征/扫描)
🔎 **检测**:扫描目标是否运行 IBM CCA 7.5.52 或 8.4.82。 🛡️ **特征**:检查金融交易保护相关的密码服务接口。
Q8官方修了吗?(补丁/缓解)
🩹 **补丁**:官方已发布修复建议。 🔗 **链接**:访问 IBM Support 页面 (node/7259625) 获取补丁。
Q9没补丁咋办?(临时规避)
🚧 **临时措施**:若无法立即打补丁,需严格限制网络访问。 🔒 **隔离**:将该服务置于内网隔离区,禁止公网直接访问。
Q10急不急?(优先级建议)
🔴 **优先级**:极高(Critical)。 ⚡ **理由**:无需认证+远程+高权限=高危。 🏃 **行动**:立即评估版本,尽快升级或应用缓解措施。