CVE-2025-9846 — 神龙十问 AI 深度分析摘要

🚨 **本质**：文件上传功能存在缺陷，允许上传危险类型文件。 💥 **后果**：攻击者可通过上传恶意文件触发 **命令注入**，直接控制服务器。

🔍 **CWE**：CWE-434（不受限制的文件上传）。 📍 **缺陷点**：系统未对上传文件的类型进行严格校验或过滤，导致恶意脚本可被执行。

🏢 **厂商**：TalentSys Consulting (土耳其)。 📦 **产品**：Inka.Net 人力资源管理系统。 ⚠️ **版本**：**6.7.1 之前**的所有版本均受影响。

👑 **权限**：CVSS评分极高 (H/H/H)，暗示可获得 **高权限** 甚至 **Root/Admin** 控制。 📊 **数据**：可完全窃取、篡改或销毁系统数据及敏感HR信息。

🚪 **门槛**：**极低**。 🔑 **认证**：CVSS向量显示 `PR:N` (无需权限) 和 `UI:N` (无需用户交互)。 🌐 **网络**：`AV:N` (网络可攻击)，意味着远程即可利用。

📜 **Exp**：当前公开数据中 **无现成PoC** 或 **在野利用** 报告。 🕵️ **现状**：虽然无公开代码，但漏洞原理简单，利用工具极易编写。

🔎 **自查**：检查 Inka.Net 版本是否 < 6.7.1。 📂 **扫描**：重点检测文件上传接口是否允许 `.php`, `.jsp`, `.exe` 等危险后缀。 📡 **指纹**：识别 TalentSys Inka.Net 产品指纹。

🛡️ **补丁**：官方已发布修复版本（**6.7.1 及以后**）。 📅 **时间**：2025-09-23 发布通报，建议立即升级至安全版本。

🚧 **临时规避**： 1. **禁用上传**：若业务非必需，暂时关闭文件上传功能。 2. **白名单**：严格限制上传目录仅允许图片格式，并禁止执行权限。 3. **WAF**：部署WAF拦截包含命令注入特征的HTTP请求。

🔥 **优先级**：**紧急 (Critical)**。 ⚡ **理由**：CVSS 满分风险 (C:H/I:H/A:H)，无需认证即可远程命令注入，危害极大，建议 **立即修复**。