CVE-2025-12059 — 神龙十问 AI 深度分析摘要

🚨 **本质**：敏感信息泄露到外部可访问目录。💥 **后果**：攻击者可直接读取敏感数据，导致信息泄露、完整性破坏及系统可用性受损。

🔍 **CWE**：CWE-538（信息泄露）。🐛 **缺陷点**：应用将敏感内容错误地写入或暴露在外部可访问的文件/目录中，且访问控制配置不当。

🏢 **厂商**：Logo Software (土耳其)。📦 **产品**：Logo j-Platform。📅 **版本**：3.29.6.4 至 13112025 版本均受影响。

🕵️ **黑客能力**：无需认证即可访问。📂 **数据风险**：可获取高敏感信息（C:H），篡改数据（I:H），甚至破坏服务（A:H）。

📉 **门槛**：极低。🔓 **条件**：网络可访问（AV:N）、无需权限（PR:N）、无需用户交互（UI:N）。只要配置不当即可利用。

🚫 **现状**：暂无公开 PoC 或 Exp。📰 **来源**：仅土耳其 USOM 发布 advisory，目前无在野利用报告。

🔎 **自查**：检查 j-Platform 安装目录下的外部可访问文件夹。📂 **特征**：查找包含敏感配置、日志或密钥的意外暴露文件。

🛡️ **官方**：数据未提供具体补丁链接。⚠️ **建议**：参考土耳其 USOM 官方通告 (tr-26-0061) 获取最新修复指南。

🛑 **临时规避**：严格限制 Web 服务器对敏感目录的访问权限。🚫 **配置**：确保外部目录不可通过 HTTP/HTTPS 直接访问，实施最小权限原则。

🔥 **优先级**：极高。📈 **CVSS**：9.1 (Critical)。🚀 **行动**：立即隔离受影响实例，优先修复访问控制配置，防止敏感数据裸奔。