漏洞概述 漏洞名称: ThingsBoard 原型污染漏洞 漏洞编号: JVN#16937365 CVE编号: CVE-2026-53676 CVSS评分: - CVSS:4.0/A:N/AC:L/AT:N/PR:H/UI:N/VC:H/VE:H/A:H/SC:N/S:N/SA:N 基础分数 8.6 - CVSS:3.0/A:N/AC:L/PR:H/UI:N/S:U:C:H/I:H/A:H 基础分数 7.2 影响范围 受影响产品: ThingsBoard 版本在 v4.3.1.2 之前 影响描述: 在沙盒环境中,具有租户管理员权限(TENANT_ADMIN)的用户可以执行任意代码。 修复方案 解决方案: 更新软件至最新版本,具体更新信息请参考 ThingsBoard 发布表。 相关链接: - ThingsBoard Release Table - Hardened remote JS executor script invocation#15600 其他信息 报告者: HIROKI IMAI of LAC Co., Ltd. 协调机构: JPCERT/CC 与 ThingsBoard 在信息安全早期预警伙伴关系下协调。 参考链接: - JPCERT/CC Addendum - Vulnerability Analysis by JPCERT/CC 代码块 页面中未包含 POC 代码或利用代码。