CVE-2025-61956 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Radiometrics VizAir 气象系统存在**访问控制错误**。 💥 **后果**：关键功能**缺少身份验证**，导致配置被改、气象数据被操纵，系统完整性崩塌。

🛡️ **CWE-306**：缺少对关键功能的身份验证机制。 🔍 **缺陷点**：攻击者无需登录即可直接访问并修改核心配置。

📦 **厂商**：Radiometrics（美国）。 📱 **产品**：VizAir 气象监测与预警系统。

🕵️ **权限**：无需认证（PR:N），远程直接操作。 📊 **数据**：可**修改配置**、**操纵气象数据**，影响监测准确性。

📉 **门槛极低**。 ✅ **无需认证**。 ✅ **无需用户交互**。 ✅ **网络可达即可利用**（AV:N, AC:L）。

🚫 **暂无公开 Exp/PoC**。 📝 **在野利用**：未知（数据中未提及）。

🔍 **自查特征**：检查 VizAir 关键接口是否**开放匿名访问**。 🛠️ **扫描**：验证未授权状态下能否读取/修改配置参数。

📢 **官方已发布**：CISA ICSA-25-308-04 警报（2025-11-04）。 💡 **建议**：立即查阅 CISA 官网获取缓解措施。

🚧 **临时规避**： 1. **网络隔离**：限制访问来源 IP。 2. **防火墙策略**：阻断未授权访问请求。 3. **监控**：重点审计配置变更日志。

🔥 **优先级：极高**。 ⚠️ **CVSS 9.0+**（严重）。 🌪️ **后果**：气象数据造假可能引发决策失误，**必须立即修复或隔离**。