从网页截图中可以获取到以下关于漏洞的关键信息: 漏洞名称:(0Day) ALGO 8180 IP Audio Alerter API Command Injection Remote Code Execution Vulnerability 漏洞编号: - ZDI-26-007 - ZDI-CAN-28294 CVE ID:CVE-2026-0785 CVSS 评分:7.5 (AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) 受影响的厂商:ALGO 受影响的产品:8180 IP Audio Alerter 漏洞详情:此漏洞允许远程攻击者在受影响的 ALGO 8180 IP Audio Alerter 设备上执行任意代码。利用此漏洞需要进行身份验证。具体缺陷存在于 API 接口中,由于在使用用户提供的字符串执行系统调用之前未进行适当的验证,导致了该问题。 额外细节: - ZDI 于 10 月 24 日通过电子邮件向供应商请求 PSIRT 联系方式。 - 供应商要求提供受影响的版本号。 - ZDI 提供了受影响的产品版本。 - ZDI 请求更新。 - 供应商提供了联系人信息。 - ZDI 向供应商提交了报告。 - ZDI 请求更新。 - ZDI 通知供应商将发布 0-day 通告。 - 鉴于漏洞的性质,唯一的缓解策略是限制与产品进行交互。 公开时间线: - 2025 年 10 月 31 日,向供应商报告漏洞。 - 2026 年 1 月 9 日,公开发布通告。 - 2026 年 1 月 9 日,更新通告。 发现者:Vera Mensa of Claroty Research - Team82