CVE-2025-9976 — 神龙十问 AI 深度分析摘要
CVSS 9.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:OS命令注入漏洞 💥 **后果**:攻击者可执行**任意代码**,彻底接管系统控制权。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-78 📍 **缺陷点**:输入验证缺失,导致恶意命令被系统直接执行。
Q3影响谁?(版本/组件)
🏢 **厂商**:Dassault Systèmes(达索系统) 📦 **组件**:3DEXPERIENCE 平台中的 **Station Launcher App**(3DSwymer)。
Q4黑客能干啥?(权限/数据)
👑 **权限**:高(CVSS A:H) 📂 **数据**:完全泄露(C:H)与篡改(I:H)。 ⚡ **能力**:在受影响系统上运行任意指令。
Q5利用门槛高吗?(认证/配置)
🔑 **门槛**:中等 ✅ **认证**:需要 **PR:L**(低权限认证) 👀 **交互**:需要 **UI:R**(用户交互)
Q6有现成Exp吗?(PoC/在野利用)
📦 **Exp**:无 🚫 **状态**:数据中 **pocs** 为空,暂无公开利用代码或已知在野利用。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查是否运行 **3DSwymer** 或 **Station Launcher App**。 📡 **扫描**:针对达索系统 3DEXPERIENCE 平台进行组件指纹识别。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方**:已发布安全公告。 🔗 **链接**:访问 3ds.com 信任中心查看具体补丁/缓解措施。
Q9没补丁咋办?(临时规避)
🛑 **临时规避**:限制对 **Station Launcher App** 的网络访问。 🚫 **策略**:禁用不必要的用户交互,严格输入过滤。
Q10急不急?(优先级建议)
⚠️ **优先级**:高 📊 **评分**:CVSS **9.1** (Critical) 🚀 **建议**:立即评估受影响实例,优先应用官方补丁。