CVE-2026-25601 – MEPIS RM 凭据暴露漏洞总结 漏洞概述 漏洞名称: CVE-2026-25601 漏洞类型: 凭据暴露 (Credential Exposure) / 硬编码凭据 (Use of Hard-coded Credentials, CWE-798) CVSS评分: 6.4 (CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H) 描述: 在由 Metronik 开发的工业软件产品 MEPIS RM 中发现。该应用程序在 组件中包含了一个硬编码的加密密钥。当启用存储域密码的选项时,该密钥用于在将密码存储到应用程序数据库之前对其进行加密。拥有足够权限访问数据库的攻击者可以提取加密的密码,使用嵌入的密钥解密它们,从而未经授权访问相关的 ICS/OT 环境。 影响范围 以下版本的 MEPIS RM 易受攻击: MEPIS RM 8.0.0.007 (不再部署在客户现场) MEPIS RM 8.1.0.007 (不再部署在客户现场) MEPIS RM 8.2.0.007 (build 14 及以下版本) - 易受攻击,因为 组件中使用了硬编码密钥。 修复方案 受影响版本修复: 漏洞在 MEPIS RM 8.2.0.007 build 15 中得到有效解决。 完全集成修复: 最终集成的产品级修复将在 MEPIS RM 8.2.0.107 中交付。 建议措施: 升级至上述修复版本将移除硬编码密钥并引入安全的密码处理机制。 利用状态**: 目前没有针对此漏洞的已知利用代码在流通。