CVE-2025-58321 — 神龙十问 AI 深度分析摘要

🚨 **本质**：目录遍历 + 身份验证绕过。 💥 **后果**：攻击者可非法访问系统文件，导致**机密性、完整性、可用性**全面崩塌。

🔍 **CWE-22**：路径遍历漏洞。 📍 **缺陷点**：未对用户输入的路径进行严格校验，允许通过 `../` 等序列跳出安全目录。

🏭 **厂商**：Delta Electronics（台达电子）。 📦 **产品**：DIALink 工业自动化通信网关。

👑 **权限**：无需认证（PR:N）。 📂 **数据**：可读取/修改任意文件（C:H/I:H），甚至可能执行恶意代码（A:H）。

📉 **门槛极低**。 ✅ **无需认证**。 ✅ **网络可达即可**。 ✅ **攻击复杂度低**（AC:L）。

🚫 **暂无公开 Exp**。 📄 官方发布了详细的技术文档（PCSA-2025-00016），但 PoC 代码未在野发现。

🔎 **扫描特征**：检测针对 DIALink 的异常路径遍历请求（如包含 `..` 的 HTTP 请求）。 🛡️ **监控**：关注非授权的文件访问日志。

🛠️ **官方已响应**。 📅 **发布日期**：2025-09-11。 📎 **参考**：Delta-PCSA-2025-00016 公告，建议查阅官方补丁或缓解措施。

🚧 **临时规避**： 1. **网络隔离**：禁止公网直接访问 DIALink 管理接口。 2. **WAF 防护**：拦截包含 `../` 或路径遍历特征的请求。 3. **最小权限**：限制网关所在网段的访问控制列表（ACL）。

🔥 **紧急程度：高**。 ⚡ **理由**：CVSS 评分极高（完整影响），且**无需认证**即可利用，对工控系统威胁极大，需立即排查。