CVE-2024-12364 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞 (SQL Injection) 💥 **后果**：攻击者可绕过验证，直接操作数据库，导致**数据泄露**、**篡改**或**服务中断**。

🔍 **CWE**：CWE-89 (SQL注入) 📍 **缺陷点**：SQL命令中**特殊元素中和不当**。输入数据未正确过滤或转义，被数据库误执行。

🏢 **厂商**：Mavi Yeşil Software 📦 **产品**：Guest Tracking Software (访客跟踪软件) 🌍 **背景**：土耳其公司开发的访客管理工具。

👮 **权限**：高 (CVSS A:H) 📊 **数据**：完全暴露 (CVSS C:H) 🔓 **能力**：可读取、修改、删除数据库内容，甚至可能获取服务器控制权。

🚪 **门槛**：极低 🔑 **认证**：无需认证 (PR:N) 🌐 **网络**：远程可利用 (AV:N) ⚡ **复杂度**：低 (AC:L) 👤 **交互**：无需用户交互 (UI:N)

📜 **PoC**：数据中未提供现成利用代码 (PoCs: []) 🔥 **在野**：暂无公开在野利用报告 ⚠️ **注意**：虽无公开Exp，但漏洞本质成熟，编写Exp难度低。

🔎 **自查方法**： 1. 检查访客输入接口（如姓名、ID）。 2. 注入测试字符 `' OR 1=1 --`。 3. 观察数据库报错或响应时间变化。 4. 使用SQLMap等工具自动化扫描。

🛡️ **官方状态**：已发布安全通告 (USOM TR-25-0140)。 💡 **建议**：立即联系厂商获取**补丁**或**更新版本**，这是最彻底的修复方式。

🚧 **临时规避**： 1. **WAF防护**：部署Web应用防火墙，拦截SQL注入特征。 2. **输入验证**：严格过滤特殊字符（如单引号、分号）。 3. **最小权限**：数据库账户使用低权限账号运行。

🔥 **优先级**：**紧急** (Critical) 📈 **评分**：CVSS 9.8 (满分10) ⏳ **行动**：因无需认证且影响全面，建议**立即隔离**或**紧急修补**，防止被自动化扫描器利用。