CVE-2026-3843 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞 💥 **后果**：攻击者可执行任意SQL命令，甚至直接导致**远程代码执行 (RCE)**，系统完全沦陷。

🔍 **CWE-89**：SQL注入 📍 **缺陷点**：系统**配置模块**未对用户输入进行严格过滤，导致恶意SQL语句被数据库执行。

🏢 **厂商**：Nefteprodukttekhnika LLC 🛠️ **产品**：BUK TS-G 加油站自动化系统 📦 **版本**：仅限 **2.9.1** 版本受影响。

👑 **权限**：最高权限（RCE） 📂 **数据**：数据库内容完全泄露 ⚙️ **控制**：攻击者可远程操控服务器，篡改加油机配置或窃取交易数据。

⚡ **门槛极低** 🌐 **网络**：远程利用 (AV:N) 🔑 **认证**：无需认证 (PR:N) 👀 **交互**：无需用户交互 (UI:N) 📉 **复杂度**：低 (AC:L)

🚫 **暂无公开Exp** 📄 **PoC**：数据中未提供现成利用代码 🌍 **在野**：暂无在野利用报告 ⚠️ **注意**：虽无PoC，但CVSS评分极高，随时可能被利用。

🔎 **扫描特征**：针对配置模块接口发送SQL注入Payload（如 `' OR 1=1`） 📡 **检测点**：监控数据库日志中的异常查询 🛠️ **工具**：使用支持SQL注入检测的WAF或扫描器测试 `/config` 相关接口。

📥 **官方源**：[bukts.ru/repo-bukts-current](https://bukts.ru/repo-bukts-current) 📜 **参考**：俄罗斯FSTEC通报 [2025-13914](https://bdu.fstec.ru/vul/2025-13914) 💡 **建议**：立即联系厂商获取 **2.9.1** 之后的安全补丁或更新版本。

🛡️ **网络隔离**：将配置模块接口限制在内网，禁止公网访问 🔒 **WAF防护**：部署Web应用防火墙，拦截SQL注入特征 👤 **最小权限**：确保数据库账户仅拥有必要权限，禁止执行系统命令。

🔥 **优先级：紧急 (Critical)** 📊 **CVSS**：9.1 (极高) ⏳ **行动**：鉴于无需认证且可导致RCE，建议**立即**隔离受影响系统并申请补丁，切勿拖延。