CVE-2025-2292 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞（Path Traversal） 💥 **后果**：攻击者可读取服务器上的**任意文件**，导致敏感信息泄露。

🔍 **CWE**：CWE-22 🐛 **缺陷点**：输入验证缺失，未对文件路径中的 `../` 等序列进行过滤，导致越权访问文件系统。

🏢 **厂商**：Xorcom 📦 **产品**：CompletePBX（基于 Asterisk 的企业级 IP 电话系统） 📅 **版本**：**5.2.35 及之前版本**

🕵️ **权限**：需本地权限（PR:L） 📂 **数据**：高机密性影响（C:H），可读取系统关键配置文件、日志或用户数据，但**不直接破坏**系统完整性或可用性。

⚠️ **门槛**：中等 🔑 **条件**：需要**本地认证**（Authenticated）才能利用。非匿名远程攻击，需先获取合法账号权限。

📜 **Exp/PoC**：当前数据中 **无现成 PoC**（pocs 为空） 🌍 **在野利用**：暂无公开在野利用报告，但漏洞原理简单，利用风险存在。

🔎 **自查方法**： 1. 检查版本是否为 **5.2.35 或更低**。 2. 审计 Web 接口中涉及文件读取的参数，看是否包含 `../` 未过滤。 3. 使用支持路径遍历检测的扫描器对 PBX 管理界面进行黑盒测试。

🛡️ **官方修复**：已发布补丁 🔗 **版本**：**CompletePBX 5.2.36.1** 📌 **行动**：立即升级至 5.2.36.1 或更高版本。

🚧 **临时规避**： 1. **严格限制**管理界面的访问 IP，仅允许内网可信源。 2. 确保所有管理员账号使用**强密码**，防止被暴力破解从而获得利用权限。 3. 最小化权限，避免使用高权限账号进行日常操作。

🚦 **优先级**：中高 ⏱️ **建议**：虽然需要认证，但 PBX 系统常存储敏感通信数据。建议**尽快升级**至 5.2.36.1，并强化访问控制策略。