漏洞关键信息 漏洞概述 标题: (0Day) ALGO 8180 IP Audio Alerter Web UI Command Injection Remote Code Execution Vulnerability ID: - ZDI-26-004 - ZDI-CAN-28291 - CVE-2026-0782 CVSS 评分: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H) 受影响厂商: ALGO 受影响产品: 8180 IP Audio Alerter 漏洞详情 描述: 此漏洞允许远程攻击者在受影响的 ALGO 8180 IP Audio Alerter 设备上执行任意代码。利用该漏洞需要身份验证。 问题所在: 在基于 Web 的用户界面中,由于对用户提供的字符串进行系统调用前缺乏正确的验证,导致该漏洞存在。 攻击者影响: 可利用此漏洞在设备上下文中执行代码。 附加细节 时间线: - 10/24/25 - ZDI 通过电子邮件请求了厂商的 PSIRT 联系人 - 10/28/25 - 厂商询问受影响版本号 - 10/28/25 - ZDI 提供了受影响产品版本 - 10/30/25 - ZDI 要求更新 - 10/31/25 - 厂商提供了联系人 - 10/31/25 - ZDI 向厂商提交报告 - 12/10/25 - ZDI 要求更新 - 12/17/25 - ZDI 通知厂商作为0-day 公告发布的意图 缓解措施: 由于漏洞性质,有效的缓解策略是限制与产品交互 披露时间线 2025-10-31 - 漏洞报告给厂商 2026-01-09 - 协调发布公告 2026-01-09 - 公告更新 致谢 Vera Mensa of Claroty Research - Team82