关键漏洞信息 日期: January 9th, 2026 漏洞名称: (0Day) ALGO 8180 IP Audio Alerter SCI Command Injection Remote Code Execution Vulnerability 编号: ZDI-26-008, ZDI-CAN-28295 CVE ID: CVE-2026-0786 CVSS评分: 7.5 (AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) 受影响的厂商: ALGO 受影响的产品: 8180 IP Audio Alerter 漏洞详情 描述: 该漏洞允许远程攻击者在受影响的ALGO 8180 IP Audio Alerter设备上执行任意代码。利用此漏洞需要进行身份验证。 具体问题: 漏洞存在于SCI模块中,由于用户提供的字符串在执行系统调用前缺乏适当的验证,攻击者可以利用此漏洞以设备上下文执行代码。 公告时间线 2025-10-31: 向厂商报告漏洞 2026-01-09: 协调公开发布通告 2026-01-09: 通告更新 历史 10/24/25 - ZDI通过电子邮件请求厂商的PSIRT联系信息 10/28/25 - 厂商要求受影晌的产品版本号 10/28/25 - ZDI提供了受影晌的产品版本 10/30/25 - ZDL要请状况报告 10/31/25 - 厂商提供了其联系信息 10/31/25 - ZDI向厂商提交了这份报告 12/10/25 - ZDI请求报告更新 12/17/25 - ZDI通知厂商,有意以0-day安全公告的方式公布该漏洞漏洞管理减免在这个漏洞的性质下,唯一有意义的漏洞管理策略就是限制与该产品的互动。 致谢 发现人: Vera Mensa of Claroty Research - Team82