CVE-2025-6205 — 神龙十问 AI 深度分析摘要

🚨 **本质**：权限控制缺失（Broken Access Control）。 🔥 **后果**：攻击者可绕过验证，直接获取**特权访问权限**，彻底接管系统。

🛡️ **CWE-862**：缺少必要的授权检查。 🔍 **缺陷点**：关键操作接口未校验用户身份或权限，导致“裸奔”。

🏭 **厂商**：Dassault Systèmes（达索系统）。 📦 **产品**：DELMIA Apriso。 📅 **版本**：**2020 至 2025** 版本全线中招。

👑 **权限**：获得**特权访问**（Privileged Access）。 💾 **数据**：可读取、修改核心制造数据，甚至控制生产流程。

📉 **门槛极低**。 🔓 **无需认证**（PR:N）。 🖱️ **无需交互**（UI:N）。 🌐 **网络可达**即可利用（AV:N）。

🧪 **有现成 PoC**。 🔗 基于 Nuclei 模板（`CVE-2025-6205.yaml`）。 ⚠️ **在野利用风险高**，因利用条件几乎为零。

🔍 **扫描特征**：使用 Nuclei 模板检测。 📡 **目标**：针对 DELMIA Apriso 的特定 API 端点发起请求，观察是否返回特权响应。

📢 **官方已发布**。 🔗 参考达索系统安全中心公告（2025-08-04）。 🛠️ 建议立即联系厂商获取**最新补丁**或版本升级。

🚧 **临时规避**： 1. **网络隔离**：禁止公网直接访问该应用。 2. **WAF 防护**：拦截异常访问请求。 3. **最小权限**：收紧内部网络访问策略。

🔴 **紧急程度：高**。 📈 **CVSS 评分**：高危（C:H, I:H）。 💡 **建议**：立即排查受影响版本，优先打补丁，防止制造数据泄露或被篡改。