维度网讯，美国网络安全与基础设施安全局（CISA）与丹麦优傲机器人（Universal Robots）联合发布公告，披露了一个影响UR机器人控制系统的严重漏洞。该漏洞编号为CVE-2026-8153，是一个存在于PolyScope 5操作系统Dashboard Server接口中的操作系统命令注入漏洞。PolyScope 5是优傲机器人用于驱动和控制协作机器人的操作系统及图形用户界面，该漏洞CVSS评分为9.8，已达严重级别，目前已在PolyScope 5.25.1版本中得到修复。

该漏洞允许Dashboard Server接受用户控制的输入，并传递给底层操作系统而未对特殊元素进行适当的中和。未经身份验证的攻击者如果能通过网络访问Dashboard Server端口，就可以构造命令并在机器人操作系统上执行，从而实现远程代码执行并控制控制器。

优傲机器人在公告中指出，远程利用此漏洞需要机器人Dashboard Server在用户界面中启用，且攻击者能够访问其端口。优傲机器人强调，其机器人并非设计为可直接从互联网访问，企业防火墙通常会阻止直接入站互联网访问。因此，虽然发生大规模DDoS或直接远程访问攻击的可能性较低，但漏洞利用的可能性仍引发网络安全界对恶意行为者可能利用该缺口造成危害的担忧。

BeyondTrust首席安全顾问Morey Haber指出，该漏洞的危险性不仅在于操作技术环境中的又一个缺陷，更体现在工业机器人控制器被像传统IT环境中被攻破的服务器一样操纵的可能性。在机器人连接到MES平台、ERP系统、远程维护解决方案或扁平网络环境中，负面影响会呈指数级恶化。一个被利用的机器人控制器可能成为横向移动的支点，波及整个生产环境，威胁行为者可以部署勒索软件、操纵生产输出、窃取知识产权或故意造成停机。

Keeper Security首席信息安全官Shane Barney表示，该漏洞的利用不需要身份验证，这意味着能够访问受影响端口的攻击者可以直接在机器人操作系统上执行命令。他建议受影响组织必须更新至PolyScope 5.25.1；对于无法立即修补的组织，如果Dashboard Server接口不是必须使用，应禁用它并在防火墙处限制网络访问。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com