CVE-2026-1579 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:PX4-Autopilot 存在**访问控制错误**。 🔥 **后果**:默认不加密、未签名时,**任何消息**均可由未授权方发送,甚至可能导致**交互式 Shell 访问**!
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE-306**:缺少身份验证。 ❌ **缺陷点**:默认未启用 **MAVLink 2.0 消息签名**,且未要求加密身份验证。
Q3影响谁?(版本/组件)
📦 **厂商**:PX4。 🚁 **产品**:PX4-Autopilot(开源无人机自动驾驶系统)。
Q4黑客能干啥?(权限/数据)
💀 **权限**:完全接管控制权。 📂 **数据**:可发送任意指令,可能导致**远程代码执行**(交互式 Shell)。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛极低**。 🔓 **认证**:无需认证(PR:N)。 🌐 **网络**:远程利用(AV:N)。 🎯 **复杂度**:低(AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
🕵️ **PoC**:数据中未提供具体 PoC。 🌍 **在野**:暂无明确在野利用报告,但风险极高。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查 MAVLink 配置。 ✅ **特征**:确认是否启用了 **MAVLink 2.0 消息签名**。 📝 **参考**:查看 PX4 官方安全加固文档。
Q8官方修了吗?(补丁/缓解)
🛠️ **官方修复**:已发布安全建议。 📖 **文档**:参考 PX4 官方 `security_hardening` 和 `message_signing` 指南。 📢 **CISA**:已发布 ICSA-26-090-02 警报。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1️⃣ **强制启用** MAVLink 2.0 消息签名。 2️⃣ **启用加密**身份验证。 3️⃣ **网络隔离**:限制无人机控制链路访问。
Q10急不急?(优先级建议)
🔴 **优先级:高**。 ⚠️ **CVSS 9.8**:严重级别。 🚀 **建议**:立即检查签名配置,防止无人机被劫持!