CVE-2025-8077 — 神龙十问 AI 深度分析摘要

🚨 **本质**：NeuVector 内置 admin 账户使用**固定默认密码**。 💥 **后果**：攻击者可轻易获取身份验证令牌，进而**执行任意操作**，完全接管平台。

🔍 **CWE**：CWE-1393（硬编码凭据）。 📍 **缺陷点**：默认 admin 账户密码为**固定字符串**，未随机化或强制修改。

📦 **厂商**：SUSE (NeuVector)。 🏷️ **产品**：neuvector。 📅 **版本**：**5.4.5 及之前版本**均受影响。

🔑 **权限**：获取 admin 级身份验证令牌。 👀 **数据**：可访问容器安全平台所有功能（镜像管理、准入控制等）。 ⚡ **操作**：执行**任意操作**，无限制。

📉 **门槛**：**极低**。 🔓 **认证**：无需认证（PR:N），攻击向量网络（AV:N），复杂度低（AC:L）。

🧪 **PoC**：数据中 **pocs 为空**，暂无公开代码。 🌍 **在野**：未提及在野利用，但利用逻辑简单，风险极高。

🔎 **自查**：检查 NeuVector 版本是否 **≤ 5.4.5**。 🛡️ **检测**：扫描默认 admin 账户是否仍使用**出厂固定密码**。

🩹 **补丁**：官方已发布安全公告（GHSA-8pxw-9c75-6w56）。 ✅ **修复**：需升级至**修复后的新版本**以消除固定密码漏洞。

🛑 **临时规避**：立即**修改默认 admin 密码**为强密码。 🔒 **隔离**：限制管理界面访问权限，仅允许可信 IP 访问。

⚡ **优先级**：**紧急**。 📊 **CVSS**：9.1 (Critical)。 💡 **建议**：立即升级或强制改密，防止容器安全防线被彻底击穿。