CVE-2023-48372 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞（CWE-89） 💥 **后果**：攻击者可注入任意SQL命令，导致数据库被**访问、修改或删除**，数据完整性与机密性彻底丧失。

🔍 **CWE**：CWE-89 (SQL注入) 📍 **缺陷点**：**SMS相关功能**对用户输入验证不足，未做严格过滤或参数化处理。

🏢 **厂商**：ITPison 📦 **产品**：OMICARD EDM 's SMS 📌 **版本**：**v6.0.1.5**（及可能存在相同代码逻辑的旧版本）。

🕵️ **权限**：远程攻击者无需认证 💾 **数据**：可执行任意SQL，意味着能**读取敏感数据**、**篡改业务信息**甚至**删除数据库表**。

🚪 **门槛**：**极低** 🔑 **条件**：CVSS评分显示 **AV:N** (网络), **PR:N** (无需权限), **UI:N** (无需交互)。远程即可直接利用。

📜 **Exp/PoC**：根据提供数据，**暂无**公开的PoC或具体利用代码记录。 🌍 **在野**：数据未提及在野利用情况，但高危漏洞通常风险极大。

🔎 **自查特征**：检查SMS模块接口是否直接拼接用户输入。 🛠 **扫描**：使用SQL注入扫描工具针对 **OMICARD EDM SMS** 相关URL进行模糊测试。

🩹 **补丁**：数据中**未提供**官方补丁链接或修复状态。 📅 **发布时间**：2023-12-15，建议立即联系厂商或查阅官方公告。

🛡️ **临时规避**： 1. **WAF拦截**：配置规则拦截SQL关键字。 2. **输入过滤**：在应用层对SMS输入参数进行严格白名单校验。 3. **最小权限**：限制数据库账户权限，禁止DROP/DELETE等高危操作。

⚡ **优先级**：**紧急 (Critical)** 📊 **CVSS**：**9.1** (极高危) 💡 **建议**：鉴于无需认证且影响全面，建议**立即**采取缓解措施或升级版本。