CVE-2025-27603 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未转义的翻译导致任意代码执行（RCE）。<br>💥 **后果**：攻击者可完全控制服务器，窃取数据或破坏系统。

🔍 **CWE**：CWE-95（代码注入）。<br>🐛 **缺陷**：翻译内容未进行转义处理，导致恶意代码被直接执行。

📦 **厂商**：XWiki SAS。<br>📉 **版本**：Confluence Migrator Application **1.2.0 之前**的所有版本。

👑 **权限**：获得 **High** 权限（CVSS 评分极高）。<br>📂 **数据**：可完全读取、修改数据，并执行任意系统命令。

🔐 **门槛**：中等。<br>⚠️ **要求**：需要 **PR:H**（高权限认证），即攻击者需拥有合法账号且权限较高。

🚫 **Exp**：目前 **无** 公开 PoC 或确认的在野利用。<br>📝 **状态**：仅发现漏洞，尚未见大规模攻击。

🔎 **自查**：检查 Confluence Migrator 版本是否 < 1.2.0。<br>🛡️ **扫描**：关注翻译模块的输入输出，检测未转义字符注入。

✅ **补丁**：已修复。<br>🔗 **参考**：GitHub 安全公告 GHSA-6qvp-39mm-95v8 及提交记录 36cef22。

🛑 **规避**：升级至 **1.2.0 或更高版本**。<br>⏸️ **临时**：若无补丁，限制高权限账号访问，禁用翻译功能。

🔥 **优先级**：**高**。<br>💡 **建议**：虽需认证，但 RCE 危害极大，建议 **立即升级** 以消除风险。