[Update 08/05/2026] CashDro 3 多个漏洞 漏洞概述 INCIBE-CERT 披露了 CashDro 3 智能现金管理抽屉 Web 管理面板中的两个漏洞: CVE-2026-8076 (严重性: 高):弱凭证漏洞。允许攻击者通过尝试不同的 PIN 码进行暴力攻击,从而访问账户。 CVE-2026-8077 (严重性: 高):缺乏授权控制。攻击者可以通过修改 JSON 响应中的二进制字符串,绕过限制并完全控制系统。 影响范围 受影响资源:CashDro 3 管理面板 受影响版本:24.01.00.26 修复方案 针对 CVE-2026-8076:系统支持使用 PIN 码凭据,并与自 2012 年以来部署的 POS 软件集成保持兼容。 针对 CVE-2026-8077:后端缺乏授权控制,导致安全完全依赖于前端。通过修改二进制字符串,攻击者可以提升权限并获得完全的管理员访问权限。 漏洞详情 CVE-2026-8076 CVSS v4.0 评分: 9.1 CVSS 向量: AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/SC:N/S:N CWE: CWE-1391 描述: 在 CashDro 3 Web 管理面板中,版本 24.01.00.26 允许使用数字 PIN 码进行用户身份验证。系统支持使用 PIN 码凭据,并与自 2012 年以来部署的 POS 软件集成保持兼容。这可能会允许攻击者对用户执行简单的暴力攻击,并通过尝试不同的 PIN 码来访问账户,而无需锁定账户。成功利用此漏洞可能导致未经授权访问机密配置设置,从而危及系统的安全性。 CVE-2026-8077 CVSS v4.0 评分: 8.8 CVSS 向量: AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/SC:N/S:N CWE: CWE-862 描述: CashDro 3 Web 管理面板版本 24.01.00.26 中缺乏适当的授权实现。后端缺乏授权控制,导致安全完全依赖于前端。通过修改 JSON 响应中“权限”字段中的二进制字符串,攻击者可以提升权限并获得完全的管理员访问权限。此漏洞允许绕过所有限制并完全危及系统管理。