CVE-2025-6204 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码生成控制不当（Improper Control of Generation of Code）。 💥 **后果**：攻击者可上传恶意文件，导致 **远程代码执行 (RCE)**，完全接管服务器。

🔍 **CWE**：CWE-94（代码注入）。 📍 **缺陷点**：文件上传处理逻辑缺陷，未正确规范化文件名或限制存储路径，导致路径穿越。

🏢 **厂商**：Dassault Systèmes（达索系统）。 📦 **产品**：DELMIA Apriso。 📅 **版本**：2020 至 2025 版本均受影响。

👑 **权限**：Web 服务器上下文权限。 📂 **数据**：可读取/篡改任意文件，执行任意系统命令，彻底沦陷。

⚠️ **门槛**：中高。 🔑 **条件**：需要 **认证用户** 身份。 📤 **动作**：需具备 **文件上传** 权限，且利用路径穿越技巧。

📜 **PoC**：有！ProjectDiscovery Nuclei 模板已发布。 🌍 **在野**：数据未提及在野利用，但 PoC 公开意味着利用门槛降低。

🔎 **自查**：使用 Nuclei 扫描 CVE-2025-6204 模板。 👀 **特征**：检查 DELMIA Apriso 上传接口是否存在路径遍历或非法文件写入。

🛡️ **官方**：达索系统已发布安全公告。 🔗 **链接**：https://www.3ds.com/trust-center/security/security-advisories/cve-2025-6204 ✅ **建议**：立即查阅官方补丁说明并升级。

🚧 **临时规避**： 1. 限制 **文件上传** 功能权限。 2. 严格校验上传文件名，禁用路径穿越字符。 3. 将上传目录设为 **不可执行**。

🔥 **优先级**：高。 ⚡ **理由**：CVSS 评分极高（H），直接导致 RCE。虽需认证，但内部威胁或凭证泄露风险大，需 **紧急修复**。