漏洞概述 CVE编号: CVE-2026-7413 漏洞名称: 持久未记录后门访问在 Yarbo 机器人固件 v2.3.9 描述: 在 Yarbo 机器人固件 v2.3.9 中发现了一个隐藏的、持久的后门,该后门提供远程、未认证(或弱认证)的访问权限,可以访问特权功能。后门未记录,无法通过用户界面禁用,并且 survives 工厂重置和普通固件更新。 CVSS评分: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (7.2, High) 利用向量: 利用向量为 PoC 和 Technical Impact: Total。此问题是 CWE-912 的一个实例。 影响范围 受影响产品: Yarbo 机器人固件 v2.3.9(2026年4月) 修复方案 厂商行动: 需要移除未记录的服务,提供文档化的认证机制,并确保固件更新/工厂重置能有效移除遗留的后门组件。 临时缓解措施: 在网络边界(主机或网络防火墙)阻止服务的监听端口,隔离分段网络上的设备,并监控设备上的意外出站连接。 概念验证 POC链接: 参见 Bin4ry 的原始披露详情 Yarbo – Not in my Back Yard 时间线 2026年3月: 初始分析供应商提供的 Andorid APK 2026年4月: 初始分析供应商提供的机器人固件文件系统 2026年4月12日 (周日): 首次联系供应商和 AHA! 2026年4月29日 (周三): 保留 CVE-2026-7413 2026年4月30日 (周四): 在 AHA! 会议上演示了 0x00eb 2026年5月7日 (周四): 公开披露 CVE-2026-7413 致谢 报告者: Andreas Makris (aka Bin4ry),通过 AHA! 演示和披露