CVE-2025-1740 — 神龙十问 AI 深度分析摘要

🚨 **本质**：认证机制失效。<br>🔥 **后果**：攻击者可绕过登录、重置密码或暴力破解，直接接管系统。

🛡️ **CWE-307**：不恰当的认证尝试限制。<br>❌ **缺陷**：缺乏有效的频率限制或锁定策略，导致暴力破解无阻碍。

🏢 **厂商**：Akinsoft (土耳其)。<br>📦 **产品**：MyRezzta 在线食品订购系统。<br>📉 **版本**：v2.03.01 至 v2.05.01 (不含)。

👮 **权限**：获取管理员或用户权限。<br>💾 **数据**：泄露敏感用户数据、订单信息，甚至篡改系统配置。

⚡ **门槛低**：CVSS 评分极高 (H/H/H)。<br>🌐 **无需认证**：远程利用，无需用户交互，攻击复杂度低。

📭 **PoC**：当前数据无公开 PoC。<br>🌍 **在野**：暂无明确在野利用报告，但风险极高，需警惕。

🔍 **自查**：检查登录接口是否无次数限制。<br>📡 **扫描**：识别 MyRezzta 版本，确认是否在受影响区间。

🛠️ **补丁**：参考土耳其 USOM 公告 (tr-25-0205)。<br>✅ **建议**：升级至修复版本，或联系厂商获取安全更新。

🚧 **临时规避**：部署 WAF 限制登录频率。<br>🔒 **加固**：强制启用 MFA，限制登录 IP 来源，监控异常登录行为。

🔴 **优先级：紧急**。<br>⚠️ **理由**：CVSS 满分风险，直接威胁业务核心数据，建议立即处置。