文章总结： 研究员披露XSpeeder设备存在严重0day漏洞CVE-2025-54322，未认证攻击者可获Root权限并波及超7万台主机。漏洞源于Web层不安全的eval函数，厂商尚未修复。建议立即隔离受影响系统并实施网络访问控制。 综合评分： 90 文章分类： 漏洞预警,漏洞分析,IoT安全,AI安全

XSpeeder网络设备中存在严重0day远程代码执行漏洞，超过7万台主机面临安全风险

会杀毒的单反狗

军哥网络安全读报

2025年12月30日 09:02 湖北

导读

研究人员在XSpeeder网络设备中发现一个严重的未经身份验证的远程代码执行漏洞，可能会影响全球超过 70,000 台可公开访问的主机。

该漏洞编号为CVE-2025-54322，攻击者无需任何身份验证凭据即可获得 root 级别的访问权限。这些系统在全球偏远工业区和分支机构环境中尤为普遍。

据Pwn.ai称，数万个基于 XSpeeder 的系统暴露在公共互联网上，造成了巨大的攻击面。

技术细节

SXZOS设备的Web认证层存在漏洞。研究人员通过固件分析和实际利用，自主发现了一个认证前远程代码执行（RCE）入口点。

该漏洞将多个表面的安全门锁串联起来，包括时间同步的 nonce 标头、会话 cookie 验证和简单的有效载荷扫描，但这些都无法保护易受攻击的端点。

该攻击利用了一个不安全的 eval() 函数，该函数处理来自查询参数的 base64 解码的用户输入。

通过绕过简单的中间件保护，攻击者可以注入任意Python 代码，并通过单个 HTTP GET 请求以 root 权限执行系统命令。

截至发稿时，该漏洞仍未修复。尽管七个月来研究人员多次尝试联系 XSpeeder，但他们始终未对漏洞披露做出回应。

研究人员之所以选择这款设备作为他们首次公开披露的信息，正是因为供应商没有做出回应。

值得注意的是，这是第一个使用自主渗透测试方法发布的、由代理发现的、可远程利用的零日远程代码执行漏洞，凸显了人工智能驱动的漏洞研究能够识别传统方法可能遗漏的关键缺陷的能力。

运行 XSpeeder SXZOS 设备的组织应立即将受影响的系统与不受信任的网络隔离，并实施网络级访问控制。

这一漏洞凸显了工业和分支机构网络领域中反应迟缓的供应商所带来的严重风险，在这些领域，安全补丁往往严重滞后于威胁发现。

漏洞详细分析：

《CVE-2025-54322 (ZERODAY) – 未经身份验证的远程代码执行漏洞，影响超过 70,000 台主机》

https://pwn.ai/blog/cve-2025-54322-zeroday-unauthenticated-root-rce-affecting-70-000-hosts

新闻链接：

Critical Zero-Day RCE Flaw in Networking Devices Exposes Over 70,000 Hosts

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《XSpeeder网络设备中存在严重0day远程代码执行漏洞，超过7万台主机面临安全风险》