Phoenix Contact: CHARX SEC-3xxx 充电控制器固件中的未认证日志下载漏洞 漏洞概述 漏洞编号: VDE-2026-060 CVE编号: CVE-2026-41032 发布日期: 2026年6月3日 影响产品: Phoenix Contact GmbH & Co. KG 的 CHARX SEC-3xxx 系列充电控制器 漏洞描述: 在固件中发现了一个未认证的日志下载漏洞,可能导致受限信息泄露给未认证的攻击者。 影响范围 受影响产品: - 型号: 1139022, 1139018, 1139012, 1138965 - 产品名称: CHARX SEC-3000, CHARX SEC-3050, CHARX SEC-3100, CHARX SEC-3150 - 受影响版本: 固件版本 < 1.9.0 修复方案 缓解措施: 受影响的充电控制器专为在封闭工业网络中使用而设计和开发。Phoenix Contact 强烈建议仅在封闭网络中使用这些设备,并通过适当的防火墙进行保护。 修复建议: Phoenix Contact 建议升级到固件版本 1.9.0,该版本修复了此漏洞。 其他信息 Acknowledgments: Phoenix Contact GmbH & Co. KG 感谢以下各方的努力: - CERTVDE 负责协调(见 https://certvde.com/en/) - Piotr Ptaszek, Mateusz Wójcik 来自 ZDI 负责报告 修订历史 版本 1.0.0: 初始修订 版本 1.0.1: 添加了“Firmware”到关系文本描述中