西门子工业边缘管理授权绕过漏洞 (CVE-2026-33892)

漏洞概述 漏洞名称: SSA-609469: 工业边缘管理中的授权绕过漏洞 发布日期: 2026-04-14 当前版本: V1.0 CVSS v3.1 基础评分: 7.1 CVSS v4.0 基础评分: 5.1 漏洞描述: 工业边缘管理存在一个授权绕过漏洞，未认证的远程攻击者可以利用此漏洞绕过身份验证，并通过远程连接功能访问连接的工业边缘设备。 影响范围 受影响产品: - Industrial Edge Management Pro V1: 所有版本 >= V1.7.0 且 = V2.0.0 且 = V2.2.0 且 < V2.8.0 修复方案 Industrial Edge Management Pro V1: 更新到 V1.15.17 或更高版本 - 链接: https://ftp.eud.edge.siemens.cloud/ - 更多建议: 参见部分缓解措施 Industrial Edge Management Pro V2: 更新到 V2.1.1 或更高版本 - 链接: https://ftp.eud.edge.siemens.cloud/ - 更多建议: 参见部分缓解措施 Industrial Edge Management Virtual: 更新到 V2.8.0 或更高版本 - 链接: https://ftp.eud.edge.siemens.cloud/ - 更多建议: 参见部分缓解措施 缓解措施 确保对受影响产品的网络访问仅限于受信任的方。 产品特定的缓解措施或建议可以在“已知受影响产品”部分找到。 请遵循一般安全建议。 一般安全建议 作为一般安全措施，西门子强烈建议采取适当的机制来保护网络访问设备。 为了在受保护的 IT 环境中操作设备，西门子建议根据《工业安全操作指南》配置环境。 更多信息可以在产品手册中找到，并遵循西门子工业安全建议。 漏洞描述 漏洞 CVE-2026-33892: - 受影响的系统未正确执行远程连接到设备的用户身份验证。 - 这可能导致未认证的远程攻击者绕过身份验证并冒充合法用户。 - 成功利用需要攻击者识别标头和端口，并启用远程连接功能。 - 设备本身的安全功能（如应用程序特定的身份验证）不受影响。 附加信息 有关西门子产品和服务中安全漏洞的更多信息，请联系西门子 ProductCERT。 历史数据 V1.0 (2026-04-14): 发布日期 使用条款 西门子安全公告的使用受所列条款和条件的约束。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

西门子工业边缘管理授权绕过漏洞 (CVE-2026-33892)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！