漏洞总结:CVE-2026-28806 漏洞概述 名称: Improper authorization in device bulk actions and device update API allows cross-organization device control(设备批量操作和设备更新API中的权限验证不当允许跨组织设备控制) CVSS评分: 9.4 (CRITICAL) 描述: 在 中存在权限验证不当漏洞。设备批量操作和设备更新API端点缺少授权检查,允许经过身份验证的用户针对属于其他组织的设备进行操作,并执行超出其权限级别的操作。 攻击后果: 攻击者可以通过操纵设备标识符选择其组织之外的设备,执行管理操作(如将设备移动到其控制的产品中)。这可能导致干扰固件更新、破坏设备连接性。若启用了远程控制台访问等功能,可能导致设备完全被攻陷。 影响范围 以下软件包/版本受到影响: (版本: 1.0.0) (版本: 1.0.0) (Commit: adeefdb7a83) 总体受影响版本: nerves_hub_web 从 1.0.0 到 2.4.0 之前的版本。 修复方案 : 升级至 : 升级至 : 升级至 POC代码** 截图中未包含具体的POC代码块。