CVE-2026-9695CVE-2026-9695 是存在于达索系统(Dassault Systèmes)旗下 DELMIA Apriso 制造运营管理(MOM)平台中的一个高危身份认证不当漏洞。该漏洞的 CVSS 3.1 基础评分高达 9.8 分,属于严重级别,攻击者可通过网络远程利用,无需任何身份认证和用户交互即可发起攻击,成功利用后可获得服务器的特权访问权限,对系统的机密性、完整性和可用性均造成严重影响。
DELMIA Apriso 是一款广泛应用于全球离散制造行业的数字化制造运营管理平台,覆盖生产执行、质量管理、仓库物流、维护保养等核心业务流程。该平台通常部署在企业核心生产网络中,连接 MES、ERP 及车间设备,一旦被攻击者获取特权访问,可能导致生产数据泄露、制造工艺被篡改、生产计划中断,甚至可能作为跳板进一步渗透至企业 OT/IT 网络,影响范围和危害程度极大。
该漏洞由 3DS Information Security 团队发现并报告,披露日期为 2026 年 7 月 8 日。受影响的版本范围为 DELMIA Apriso Release 2020 至 Release 2026,覆盖近 7 年的多个主要版本,意味着大量未及时更新的企业用户面临严重风险。达索系统已发布安全公告,建议用户尽快升级至修复版本,并采取临时缓解措施以降低被攻击的风险。
DELMIA Apriso 的身份认证不当漏洞(Improper Authentication)源于系统在处理用户身份验证请求时存在逻辑缺陷,未能充分校验请求的合法性或会话凭证的有效性,导致攻击者可以绕过正常的认证流程直接访问受保护的资源或接口。
从 CVSS 向量来看,该漏洞的攻击向量为网络(AV:N),攻击复杂度低(AC:L),无需任何特权(PR:N),无需用户交互(UI:N),且对机密性(C:H)、完整性(I:H)和可用性(A:H)均产生高影响。这表明漏洞可能存在于以下环节:1)认证接口缺少对关键参数的校验,例如允许空凭据、默认凭据或伪造令牌通过认证;2)会话管理机制存在缺陷,例如会话 ID 可预测或未与会话状态绑定,攻击者可通过伪造会话获取访问权限;3)认证流程中存在逻辑绕过路径,例如通过直接调用内部 API 接口跳过认证环节。
攻击者利用该漏洞时,首先通过网络定位暴露在公网或内网的 DELMIA Apriso 服务端口,构造恶意的认证请求或直接发送绕过认证的请求包,利用认证逻辑缺陷获取合法的特权会话或令牌,进而以管理员权限登录系统。成功利用后,攻击者可访问所有受保护的业务数据、修改生产参数、上传恶意组件,甚至通过平台与底层设备的通信接口下发错误指令,严重影响生产安全和业务连续性。