🔴 《严重安全漏洞:CVE-2026-6900》

CVSS 评分: 严重(9.1)  状态: Received  发布时间: 2026-07-06


漏洞简介

CVE-2026-6900 涉及 B&R Industrial Automation GmbH 生产的 APROL 工业自动化系统中存在的证书验证不当漏洞(Improper certificate validation vulnerability),对应 CWE-295 分类(不当的证书验证,Improper Certificate Validation)。该漏洞允许攻击者利用系统在验证数字证书(digital certificate)时的缺陷,绕过安全机制,从而可能实施中间人攻击(Man-in-the-Middle, MitM)或其他基于证书的欺骗行为。

影响范围

该漏洞影响 B&R APROL 系统,具体版本为 R 4.4-01P5 之前的所有版本。用户应检查当前运行的 APROL 版本是否低于此修复版本,并及时升级到 R 4.4-01P5 或更高版本以消除风险。

风险分析

根据 CVSS 4.0 评分向量(CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X),该漏洞具有以下风险特征:

  • 攻击向量(Attack Vector, AV):网络(Network),攻击者无需物理接触系统即可远程利用。
  • 攻击复杂度(Attack Complexity, AC):低(Low),利用条件简单。
  • 攻击所需权限(Privileges Required, PR):无(None),无需任何身份认证或授权。
  • 用户交互(User Interaction, UI):无(None),无需用户主动操作。
  • 机密性影响(Confidentiality Impact, VC):高(High),可能导致敏感数据泄露。
  • 完整性影响(Integrity Impact, VI):高(High),攻击者可篡改通信数据或系统配置。
  • 可用性影响(Availability Impact, VA):无(None),不影响系统正常运行。

可能的攻击后果:攻击者可通过伪造或篡改证书,冒充合法通信方(如上位机、控制器或第三方服务),拦截、窃取或篡改工业控制网络中的关键数据(如工艺参数、报警信息、控制指令)。在工业自动化场景中,这可能导致生产流程异常、设备误操作甚至安全事故。由于 APROL 常用于过程控制(process control)和工厂自动化(factory automation),该漏洞对工业基础设施的安全构成严重威胁。


🔍 技术细节

字段
CVE ID CVE-2026-6900
CVSS 评分 9.1 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-295
发布时间 2026-07-06
最后更新 2026-07-06
状态 Received
数据来源 cybersecurity@ch.abb.com

🔗 参考链接