CVE-2025-34089 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未认证远程攻击者可注入任意 **AppleScript** 有效载荷。 💥 **后果**：直接导致 **远程代码执行 (RCE)**，系统完全沦陷。

🔍 **CWE-306**：缺少身份验证。 🐛 **缺陷点**：软件未对远程输入进行严格的 **认证检查**，导致恶意脚本被直接执行。

📦 **厂商**：Aexol Studio。 📱 **产品**：Remote for Mac。 📅 **版本**：**2025.7 及之前版本** 均受影响。

👑 **权限**：攻击者可获得 **系统级代码执行权限**。 📂 **数据**：可窃取所有用户数据、控制屏幕、安装后门，风险极高。

📉 **门槛低**：**无需认证**。 🌐 **配置**：远程攻击者即可利用，无需本地访问或特殊配置。

💣 **有现成Exp**： ✅ Rapid7 Metasploit 模块已存在 (`remote_for_mac_rce.rb`)。 ✅ PacketStorm 有相关利用文件。 ⚠️ **在野利用风险高**。

🔎 **自查方法**： 1. 检查 Mac 是否安装 **Aexol Studio Remote**。 2. 确认版本号是否 **≤ 2025.7**。 3. 扫描网络中开放该远程服务接口的设备。

🛡️ **官方修复**：数据未提供具体补丁链接，但指出 **2025.7 之后版本** 应已修复。 📢 建议立即联系厂商获取最新安全更新。

🚧 **临时规避**： 1. **卸载** 该软件（最推荐）。 2. 若必须使用，**关闭远程访问功能**。 3. 限制网络访问，仅允许可信 IP 连接。

🔥 **优先级：极高**。 ⚡ **理由**：无认证 + 远程代码执行 + 已有公开 Exploit。 🏃 **行动**：立即升级或隔离受影响设备！