Anviz 多款产品漏洞总结 漏洞概述 发布日期:2026年4月16日 警报代码:ICSA-26-106-03 CVSS 评分:9.8 (Critical) 风险描述:成功利用这些漏洞可能允许攻击者进行侦察、捕获或解密敏感数据、更改设备配置、获取未授权的(管理或根级别)访问权限、执行任意代码、破坏凭据或通信,并最终获得受影响设备的完全控制权。 漏洞类型:包括缺少授权、缺少关键功能认证、命令注入、下载无完整性检查的代码、硬编码密钥、相对路径遍历、敏感信息明文传输、通信源验证不当、选择弱算法等。 影响范围 受影响厂商:Anviz 受影响产品:Anviz Multiple Products 受影响固件版本: CX2 Lite Firmware (CVE-2026-32648, CVE-2026-40461, CVE-2026-35682, CVE-2026-35546, CVE-2026-40066, CVE-2026-33569) CX7 Firmware (CVE-2026-33093, CVE-2026-35061, CVE-2026-32648, CVE-2026-40461, CVE-2026-35546, CVE-2026-40066, CVE-2026-32324, CVE-2026-31927, CVE-2026-33569) CrossChex Standard (CVE-2026-40434, CVE-2026-32650) 关键基础设施行业:商业设施、关键制造、国防工业基地、能源、金融服务、食品与农业、政府服务与设施、医疗保健与公共卫生、信息技术、交通运输系统。 部署地区:全球。 修复方案 厂商建议:CISA 建议用户采取防御措施以最小化漏洞利用风险。 具体建议: 最小化所有控制系统设备和/或系统的网络暴露,确保它们无法从互联网访问。 将控制系统网络和远程设备置于防火墙后面,并与业务网络隔离。 当需要远程访问时,使用更安全的通信方法,如虚拟专用网络 (VPN),并确保 VPN 更新到最新版本。 在部署防御措施之前,进行适当的影响分析和风险评估。 实施推荐的网络安全策略以主动防御 ICS 资产。 参考 CISA ICS 网页上的技术信息文件 ICS-TIP-12-146-01B 获取额外的缓解指导和推荐做法。 当前状态:截至目前,CISA 未收到专门针对这些漏洞的公开利用报告。