CVE-2025-1387 — 神龙十问 AI 深度分析摘要

🚨 **本质**：身份验证机制存在严重缺陷。 💥 **后果**：攻击者可绕过正常登录流程，**直接以任意用户身份**登录系统，完全丧失访问控制能力。

🔍 **CWE**：CWE-1390 (认证相关缺陷)。 📍 **缺陷点**：**身份验证不当**。系统未能正确校验用户凭证或会话状态，导致身份伪造成为可能。

🏢 **厂商**：Learning Digital (中国一宇数位)。 📦 **产品**：**Orca HCM** 数字学习平台。 ⚠️ **注意**：需确认是否使用受影响的具体版本，数据未列出具体版本号。

👑 **权限**：获得**任意用户权限**，包括管理员。 📂 **数据**：可读取、修改所有敏感HR数据、员工信息及学习记录。 🔓 **范围**：CVSS评分极高 (H/H/H)，影响机密性、完整性和可用性。

🚪 **门槛**：**极低**。 📉 **指标**：攻击向量网络 (AV:N)、攻击复杂度低 (AC:L)、无需权限 (PR:N)、无需用户交互 (UI:N)。 👉 **结论**：远程匿名攻击，无需社工或配置错误。

📜 **Exp**：数据中 **pocs 为空**。 🌍 **利用**：暂无公开 PoC 或确凿的在野利用报告。 ⚠️ **风险**：虽无代码，但逻辑漏洞极易编写简单脚本利用。

🔎 **自查**：检查 Orca HCM 登录接口逻辑。 🛠 **工具**：使用支持 CVE-2025-1387 扫描的漏洞扫描器。 👀 **观察**：尝试构造异常请求，看是否能绕过 Token 或 Session 验证。

📅 **时间**：2025-02-17 发布。 🔗 **来源**：TW-CERT 等第三方 advisories 已披露。 💡 **建议**：立即联系厂商 Learning Digital 获取官方补丁或更新说明。

🛡️ **临时措施**： 1. **网络隔离**：限制对 HCM 系统的公网访问。 2. **WAF 防护**：配置规则拦截异常认证请求。 3. **账号监控**：开启登录日志审计，监控异常 IP 和频繁登录行为。

🔥 **优先级**：**紧急 (Critical)**。 📊 **评分**：CVSS 3.1 满分附近 (9.0+)。 ⏳ **行动**：由于无需认证且影响全面，建议**立即**评估并部署缓解措施，优先打补丁。