CVE-2025-9971 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Planet Industrial Cellular Gateway 存在**缺少身份验证**的安全漏洞。 💥 **后果**：未经验证的远程攻击者可**完全操控**设备，风险极高。

🔍 **CWE-306**：缺少身份验证（Missing Authentication）。 📍 **缺陷点**：关键功能或接口未强制要求用户登录或凭证校验，导致访问控制失效。

🏭 **厂商**：Planet Technology（台湾普天）。 📦 **产品**：Industrial Cellular Gateway。 🔢 **型号**：ICG-2510WG-LTE (EU/US)。

🔓 **权限**：远程攻击者可获得**高权限**，甚至完全控制设备。 📊 **数据**：可能导致**机密性、完整性、可用性**全部丧失（CVSS评分极高）。

📉 **门槛极低**。 ✅ **无需认证**（PR:N）。 ✅ **无需交互**（UI:N）。 ✅ **网络可达即可**（AV:N, AC:L）。

🚫 **暂无公开 Exp/PoC**。 📝 数据中 `pocs` 字段为空，目前未见在野利用报告，但风险极大。

🔎 **扫描特征**：检测 ICG-2510WG-LTE 设备。 🛡️ **验证方法**：尝试访问管理接口或敏感功能，观察是否**直接返回响应**而无需登录。

🛡️ **官方已发布通告**。 🔗 参考链接：[Planet 安全公告](https://www.planet.com.tw/en/support/security-advisory/8)。 📅 发布时间：2025-09-17。

⚠️ **临时规避**： 1. **网络隔离**：将设备置于内网，禁止公网直接访问。 2. **防火墙策略**：限制仅允许可信 IP 访问管理端口。 3. **修改默认凭证**（若适用）：虽主要缺认证，但强化基础配置有益。

🔥 **优先级：紧急**。 📈 **CVSS 3.1 评分极高**（C:H/I:H/A:H）。 💡 **建议**：立即联系厂商获取补丁或缓解措施，切勿暴露于公网。