CVE-2024-13152 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞。源于用户可控的SQL主键。 💥 **后果**：攻击者可窃取、篡改或删除数据库中的关键机械监控数据，系统完整性遭破坏。

🔍 **CWE**：CWE-89 (SQL注入)。 📍 **缺陷点**：后端代码未对用户输入的SQL主键参数进行严格过滤或参数化处理，导致恶意SQL代码被执行。

🏢 **厂商**：BSS Software (土耳其)。 📦 **产品**：Mobuy Online Machinery Monitoring Panel。 ⚠️ **版本**：**2.0之前**的所有版本均受影响。

👮 **权限**：无需认证 (PR:N)。 📊 **数据**：高机密性 (C:H)、高完整性 (I:H)、高可用性 (A:H)。 🔓 **能力**：可读取所有机械监控数据，甚至可能执行系统命令或破坏服务。

🚪 **门槛**：**极低**。 🔑 **认证**：无需登录 (PR:N)。 🌐 **网络**：网络可达即可 (AV:N)。 ⚡ **复杂度**：低 (AC:L)，无需特殊用户交互 (UI:N)。

📜 **PoC**：当前漏洞数据中 **无** 公开PoC (pocs: [])。 🌍 **在野**：暂无明确在野利用报告，但鉴于CVSS评分极高，需警惕自动化扫描攻击。

🔎 **自查**：检查URL或API请求中是否包含可控制的SQL主键参数。 🛡️ **扫描**：使用SQL注入扫描工具针对该产品的监控接口进行模糊测试，观察报错或延迟响应。

🛠️ **补丁**：官方建议升级至 **2.0或更高版本**。 📖 **参考**：土耳其USOM发布的安全通告 (tr-25-0033) 提供了详细指引。

🚧 **临时规避**： 1. 部署WAF规则，拦截包含SQL关键字的主键参数。 2. 限制该监控面板的公网访问，仅允许内网IP访问。 3. 对输入参数进行严格的白名单校验。

🔥 **优先级**：**紧急 (Critical)**。 📈 **CVSS**：9.8 (极高)。 💡 **建议**：立即评估受影响版本，若为2.0以下版本，务必尽快升级或实施网络隔离，防止数据泄露。