CVE-2025-26852 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞。 💥 **后果**：攻击者可窃取、篡改或删除数据库中的敏感数据，甚至完全控制服务器。

🔍 **CWE**：CWE-89 (SQL注入)。 📍 **缺陷点**：软件未对用户输入的SQL查询进行充分过滤或参数化处理，导致恶意SQL代码被执行。

🏢 **厂商**：Descor。 📦 **产品**：DESCOR INFOCAD FM (BIM和设施管理软件)。 📅 **版本**：3.5.1 及之前版本。

🔓 **权限**：无需认证 (PR:N)。 📊 **数据**：高机密性 (C:H) 和高完整性 (I:H) 风险。 🛠️ **影响**：可读取所有数据、修改数据，甚至可能导致服务中断 (A:H)。

🚪 **利用门槛**：极低。 ✅ **认证**：不需要 (PR:N)。 ✅ **用户交互**：不需要 (UI:N)。 🌐 **攻击向量**：网络远程 (AV:N)。 ⚡ **复杂度**：低 (AC:L)。

📜 **PoC**：当前数据未提供公开PoC。 🔥 **在野利用**：未知。 🔗 **参考**：官方Changelog页面已提及此修复。

🔎 **自查方法**：检查输入点是否包含特殊SQL字符 (如 `'`, `--`, `;`)。 🛠️ **工具**：使用SQL注入扫描器 (如SQLMap) 对API或表单进行测试。 📋 **日志**：监控数据库日志中的异常查询模式。

🛡️ **官方修复**：是。 📝 **依据**：官方Changelog页面 (`/changelog/sql-injection/`) 已列出修复。 💡 **建议**：立即升级至修复后的最新版本。

🚧 **临时规避**： 1. **WAF防护**：配置Web应用防火墙拦截SQL注入特征。 2. **输入验证**：严格过滤所有用户输入。 3. **最小权限**：限制数据库账户权限。 4. **网络隔离**：限制对受影响服务的网络访问。

⚠️ **优先级**：极高 (Critical)。 📉 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H (满分附近)。 🚀 **行动**：立即修补，无需等待。此漏洞远程、无需认证、影响全面。