漏洞关键信息 1. 漏洞概述 SICK TDC-X401GL 产品存在多个漏洞,可能影响产品的机密性、完整性和可用性。 2. 漏洞类型及影响 CVE-2026-22907: 错误的权限分配,可能导致主机文件系统的未经授权访问。 CVE-2026-22988: 代码注入漏洞,导致任意系统命令执行。 CVE-2026-22908: 未正确控制服务启停,导致远程代码执行。 CVE-2026-22909: 不当访问控制,允许系统操作中断。 CVE-2024-10771: 使用弱密码,增加未授权访问风险。 CVE-2026-22910: 硬编码凭证,允许远程攻击者未经授权访问设备。 CVE-2026-22911: 因输入验证不足导致的系统文件暴露。 CVE-2026-22912: 不适当的输入验证导致传输层重定向,导致不信任站点的重定向。 CVE-2026-22913: 跨站脚本攻击,可执行用户浏览器中的代码。 3. 评分与严重性 CVSS3.1: - CVE-2026-22907: 9.3 (严重) - CVE-2024-10771: 8.8 (严重) - CVE-2026-22908 & CVE-2026-22910: 9.1 (严重) - 其他漏洞评分均在 3.8 至 4.3(低至中等) 4. 修复与缓解措施 升级到最新 TDC-X401GL firmware。 禁用 AppEngine 服务以减少风险。 只允许受信实体访问设备。 5. 总结 SICK 推荐用户升级 firmware、禁用不必要的服务,并参照指南加强设备安全性。最新与以往 firmware 版本受影响详情可见此说明。