一、 漏洞 CVE-2026-22911 基础信息
漏洞信息
# N/A
## 概述
固件更新文件可能泄露系统账户的密码哈希,攻击者可利用此信息恢复凭据,进而获得设备未授权访问权限。
## 影响版本
未明确指定受影响的固件版本。
## 细节
固件更新文件在生成或打包过程中未对系统账户的密码哈希进行适当保护,可能导致其以明文或可提取形式暴露。攻击者可通过下载并分析固件更新文件获取这些哈希值。
## 影响
远程攻击者可获取系统账户的密码哈希,使用离线破解手段恢复原始凭证,进而登录设备并执行未授权操作,导致设备完全失陷。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Firmware update files may expose password hashes for system accounts, which could allow a remote attacker to recover credentials and gain unauthorized access to the device.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
使用硬编码的凭证
来源:美国国家漏洞数据库 NVD
漏洞标题
SICK TDC-X401GL 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SICK TDC-X401GL是德国SICK公司的一款边缘计算网关。 SICK TDC-X401GL存在安全漏洞,该漏洞源于固件更新文件可能暴露系统账户的密码哈希,可能导致远程攻击者恢复凭据并获得未经授权的访问。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2026-22911 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2026-22911 的情报信息
- https://www.sick.com/.well-known/csaf/white/2026/sca-2026-0001.jsonx_The canonical URL.
标题: ICS Recommended Practices | CISA -- 🔗来源链接
标签:x_ICS-CERT recommended practices on Industrial Security
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **资源材料**: - **更新防病毒软件**:推荐实践,更新工业控制系统中的防病毒软件。 - **增强工业控制系统网络安全**:推荐实践,通过纵深防御策略增强工业控制系统网络安全。 - **创建网络安全计划**:推荐实践,为控制系统创建网络安全计划。 - **开发工业控制系统网络安全事件响应能力**:推荐实践,开发工业控制系统网络安全事件响应能力。 - **跨站脚本攻击案例研究**:推荐实践案例研究,关于跨站脚本攻击的案例研究。 - **控制系统的补丁管理**:推荐实践,关于控制系统的补丁管理。 - **确保工业控制系统远程访问**:推荐实践,确保工业控制系统的远程访问安全。 - **工业控制系统网络安全采购语言**:推荐实践,关于工业控制系统网络安全采购语言。 - **控制系统的网络安全漏洞缓解措施**:推荐实践,关于控制系统的网络安全漏洞缓解措施。 2. **资源材料的详细信息**: - **文件类型**:所有资源材料均为PDF格式。 - **文件大小**:文件大小从3.74MB到922.16KB不等。 - **语言**:所有资源材料均为英文。 这些资源材料提供了关于工业控制系统(ICS)的网络安全实践和漏洞缓解措施,帮助用户了解如何保护工业控制系统免受网络安全威胁。
- https://www.sick.com/.well-known/csaf/white/2026/sca-2026-0001.pdfvendor-advisory
标题: Common Vulnerability Scoring System Version 3.1 Calculator -- 🔗来源链接
标签:x_CVSS v3.1 Calculator
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **漏洞评分系统**:页面显示的是Common Vulnerability Scoring System (CVSS) v3.1计算器,用于评估漏洞的严重性。 2. **评分指标**: - **Base Score**:包括攻击向量 (AV)、复杂性 (AC)、权限要求 (PR)、用户交互 (UI)、完整性和可用性 (A)。 - **Temporal Score**:包括漏洞代码成熟度 (E)、修复级别 (RL) 和报告信心 (RC)。 - **Environmental Score**:包括机密性要求 (CR)、完整性要求 (IR)、可用性要求 (AR)、修改后的攻击向量 (MAV)、修改后的复杂性 (MAC)、修改后的权限要求 (MPR)、修改后的用户交互 (MUI)、修改后的范围 (MS)、修改后的机密性 (MC)、修改后的完整性 (MI) 和修改后的可用性 (MA)。 3. **评分指标选项**:每个评分指标都有多个选项,用户可以选择相应的值来计算评分。 4. **评分结果**:页面底部显示了评分结果,包括基线评分、临时评分和环境评分。 5. **用户指南和资源**:页面左侧提供了关于CVSS v3.1的详细信息,包括计算器、规格说明文档、用户指南、示例、常见问题、文档和资源等。 这些信息可以帮助用户了解和评估漏洞的严重性,以及如何使用CVSS v3.1计算器进行评分。
- https://www.sick.com/media/docs/9/19/719/special_information_sick_operating_guidelines_cybersecurity_by_sick_en_im0106719.pdfx_SICK Operating Guidelines
标题: The SICK Product Security Incident Response Team (SICK PSIRT) | SICK -- 🔗来源链接
标签:x_SICK PSIRT Security Advisories
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **SICK Product Security Incident Response Team (SICK PSIRT)**: - SICK PSIRT是SICK AG的中央团队,负责处理与SICK AG产品、解决方案和服务相关的安全漏洞报告。 - SICK PSIRT负责协调和披露安全漏洞,发布安全公告,并在必要时提供解决方案。 2. **报告漏洞**: - SICK PSIRT鼓励报告安全漏洞,并提供详细的报告指南。 - 报告应包含以下信息: - 联系信息和可用性 - 受影响的产品,包括型号和版本号 - 漏洞的分类(如缓冲区溢出、XSS等) - 漏洞的详细描述(如有验证) - 漏洞的影响(如有) - 漏洞的当前意识水平(是否有计划披露) - 报告人的公司关联(如有) - CVSS评分(如有) 3. **联系方式**: - 报告应发送至psirt@sick.de。 - 接受的语言为德语和英语。 - 建议使用加密传输。 4. **安全公告**: - 提供了2024年的安全公告列表,包括漏洞的ID、标题、CVSS评分、受影响的产品、发布日期、下载链接和签名信息。 5. **历史记录**: - 提供了过去几年的安全公告更新历史,包括PGP公钥的更新和SICK PSIRT的引入。 这些信息帮助用户了解如何报告安全漏洞,以及如何获取SICK AG的安全公告和更新。
- https://nvd.nist.gov/vuln/detail/CVE-2026-22911
四、漏洞 CVE-2026-22911 的评论
暂无评论