关键信息 漏洞概述 ID: IDS-2026-0001 标题: Unauthorized access affects VibroLine devices 发布者: IDS Innomic Schwingungsmesstechnik GmbH 初始发布日期: 2026-02-02 当前发布日期: 2026-02-02 CVSS v3.1 基本分数: 9.8 严重性: 高 漏洞详情 CVE-2022-50975: Unauthorized Access To Device Configuration - CWE: CWE-346 (Origin Validation Error) - 影响: 未正确隔离以太网和USB连接,允许攻击者在配置通过以太网启用且存在至少一个合法连接时配置和重置设备。 - 缓解措施: 更新VibroLine VLX HD 5.0设备的固件至2.1.1866或更高版本。 CVE-2022-50976: Unintended Device Reset - CWE: CWE-1288 (Improper Validation of Consistency within Input) - 影响: 使用无效的重置文件重置设备密码导致设备完全重置,如果通过USB连接设备。 - 缓解措施: 更新VibroLine Configurator至5.1.2730或更高版本。 CVE-2022-50977: Unauthorized Configuration Switch Via HTTP - CWE: CWE-306 (Missing Authentication for Critical Function) - 影响: 通过HTTP切换配置预设功能无需身份验证,攻击者可利用此功能中断正常操作。 - 缓解措施: 隔离网络,仅限受信设备访问。 CVE-2022-50978: Unauthorized Configuration Switch Via Modbus (TCP) - CWE: CWE-306 (Missing Authentication for Critical Function) - 影响: 通过Modbus (TCP) 切换配置预设功能无需身份验证。 - 缓解措施: 隔离网络,仅限受信设备访问。 CVE-2022-50979: Unauthorized Configuration Switch Via Modbus (RS485) - CWE: CWE-306 (Missing Authentication for Critical Function) - 影响: 通过Modbus (RS485) 切换配置预设功能无需身份验证。 - 缓解措施: 限制访问RS485总线至受信设备。 CVE-2022-50980: Unauthorized Configuration Switch Via CAN - CWE: CWE-306 (Missing Authentication for Critical Function) - 影响: 通过CAN切换配置预设功能无需身份验证。 - 缓解措施: 限制访问CAN总线至受信设备。 CVE-2022-50981: No Password By Default - CWE: CWE-521 (Weak Password Requirements) - 影响: 设备默认无密码,且未强制设置密码。 - 缓解措施: 首次使用时设置设备密码。 参考资料 CSAF JSON HTML版本 BSI版本