CVE-2023-3631 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞（SQLi）。源于对特殊元素中和不当。后果：攻击者可绕过安全机制，直接操作数据库。

🔍 **CWE-89**：SQL注入。缺陷点在于**输入验证/过滤缺失**，导致恶意SQL代码被执行。

🏢 **受影响**：Medart Health Services 用户。具体组件：**Medart Notification Panel**。版本：**20231123及之前**。

💀 **黑客能力**：CVSS评分极高（H/H/H）。可**完全读取**敏感数据、**篡改**数据、甚至**控制**服务器权限。

⚡ **门槛极低**：CVSS显示 AV:N/AC:L/PR:N/UI:N。无需认证、无需用户交互、网络即可利用。

📦 **现状**：数据中 **pocs** 为空数组。暂无公开现成Exploit或明确在野利用报告。

🔎 **自查**：扫描工具检测 **CWE-89** 特征。检查输入点是否过滤特殊字符（如 `'`, `--`, `;`）。

🛡️ **官方修复**：参考链接指向土耳其USOM公告。建议立即联系厂商获取**最新补丁**或更新版本。

🚧 **临时规避**：实施**WAF规则**拦截SQL关键字。严格**输入过滤**，使用**参数化查询**重构代码。

🔥 **优先级：P0（紧急）**。CVSS满分风险，无认证要求。建议**立即**评估影响范围并部署缓解措施。