CVE-2025-30004 — 神龙十问 AI 深度分析摘要

🚨 **本质**：操作系统命令注入（OS Command Injection）。<br>🔥 **后果**：攻击者可绕过应用层限制，直接在底层操作系统执行任意指令，导致系统完全沦陷。

🛡️ **CWE-78**：不当限定字符序列。<br>🔍 **缺陷点**：位于 **管理员任务调度功能** 中。输入数据未经验证或过滤，直接拼接至系统命令中执行。

🏢 **厂商**：Xorcom。<br>📦 **产品**：CompletePBX（基于 Asterisk 的企业级 IP 电话系统）。<br>📅 **版本**：**5.2.35 及之前版本** 均受影响。

👑 **权限**：以 **root 用户** 身份执行任意命令。<br>💾 **数据**：可读取、修改、删除服务器任意文件，甚至控制整个网络基础设施。

🔑 **门槛**：中等。<br>✅ **认证**：需要 **管理员权限**（PR:L）。<br>🌐 **网络**：远程可利用（AV:N）。<br>⚙️ **复杂度**：低（AC:L），无需复杂交互。

📜 **PoC**：暂无公开代码（pocs 为空）。<br>🌍 **在野**：数据未显示已发生大规模在野利用。<br>🔗 **参考**：VulnCheck 和 Xorcom 官方已发布安全公告。

🔍 **自查**：检查系统是否为 Xorcom CompletePBX 且版本 ≤ 5.2.35。<br>📡 **扫描**：针对 **任务调度接口** 进行模糊测试，观察是否返回系统命令执行结果或异常报错。

🛠️ **补丁**：已发布。<br>📥 **版本**：官方已推出 **5.2.36-1** 版本修复此漏洞。<br>🔗 **链接**：参考 Xorcom 官方公告。

🚧 **临时规避**：<br>1. 立即升级至 **5.2.36-1**。<br>2. 若无法升级，严格限制管理员账户访问权限。<br>3. 在任务调度模块输入处增加严格的白名单过滤。

⚡ **优先级**：**极高**。<br>📊 **CVSS**：9.8（Critical）。<br>💡 **建议**：鉴于可直接获取 **root 权限**，建议立即停止使用旧版本并强制升级，切勿拖延。