CVE-2026-3893 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Carlson VASCO-B GNSS 接收器存在**访问控制错误**。 📉 **后果**：因缺乏身份验证，攻击者可**直接访问**并**修改**设备配置及操作功能，严重威胁定位数据完整性。

🔍 **CWE-306**：缺少身份验证机制。 🛠️ **缺陷点**：关键管理接口或功能未设置**权限校验**，导致未授权访问。

📦 **厂商**：Carlson Software。 📡 **产品**：VASCO-B GNSS Receiver（高精度卫星定位接收设备）。

🔓 **权限**：无需认证即可操作。 💾 **数据/功能**：可**读取**敏感配置，**修改**关键参数，甚至**破坏**设备正常运行。

📉 **门槛极低**。 🔑 **认证**：**无需**任何身份验证（PR:N）。 🌐 **网络**：网络可达即可利用（AV:N）。

🚫 **暂无**。 📄 **PoC**：数据中 `pocs` 为空，未发现公开利用代码或**在野利用**报告。

🔍 **自查方法**： 1. 尝试通过 HTTP/API 访问管理接口，观察是否返回成功响应。 2. 检查是否要求输入用户名/密码。 3. 扫描工具检测 **CWE-306** 特征。

🔄 **状态未知**。 📅 **发布时间**：2026-04-28。 📝 **建议**：立即访问 Carlson 官网支持页面或参考 CSAF 文件获取最新补丁信息。

🛡️ **临时规避**： 1. **网络隔离**：将设备置于**内网**，禁止公网访问。 2. **防火墙**：限制仅信任 IP 访问管理端口。 3. **物理安全**：防止物理接触设备。

🔴 **高优先级**。 ⚖️ **CVSS**：分数高（I:H, A:H），虽机密性影响低（C:L），但**完整性**和**可用性**受损严重。 ⚡ **行动**：尽快隔离并联系厂商获取修复方案。