关键信息 漏洞概述 漏洞编号: VDE-2026-004 发布时间: 2026-02-09 09:00 厂商: WAGO GmbH & Co. KG 外部ID: VDE-2026-004 漏洞描述 概要: 在WAGO 852-1328设备的基于Web的管理界面中发现了多个漏洞,该界面使用了修改后的lighttpd服务器和自定义CGI二进制文件。这些问题包括多个堆栈缓冲区溢出、认证绕过和不安全的凭证存储。 影响: 成功利用这些漏洞可能允许远程攻击者崩溃Web服务、执行任意代码、绕过身份验证控制并获取明文管理凭证。 受影响产品 漏洞详情 CVE-2026-22906: CVSS评分9.8 CVE-2026-22904: CVSS评分9.8 CVE-2026-22903: CVSS评分9.8 CVE-2026-22905: CVSS评分7.5 缓解措施 请将您的设备更新到指定的修复固件版本02.65。 致谢 WAGO GmbH & Co. KG感谢CERT@VDE的协调和Diconium的报告。