CVE-2026-8185UGREEN CM933固件版本1.1.59.4319的管理接口组件中检测到一个安全漏洞。该漏洞源于未知功能的实现缺陷,导致了身份认证机制的缺失。攻击者无需具备任何权限或进行用户交互,仅需与目标处于同一本地网络即可发起攻击。利用该漏洞可能导致系统的机密性、完整性和可用性受到低程度的影响。目前厂商已确认该问题,并计划在4月下旬的发布版本中修复该漏洞。
该漏洞位于UGREEN CM933设备的管理界面中,属于典型的认证绕过或缺失漏洞。根据CVSS 3.1向量分析,攻击向量为邻接网络(AV:A),意味着攻击者必须与目标设备处于同一本地网段(例如同一Wi-Fi或局域网)才能利用此漏洞。攻击复杂度低(AC:L),无需任何特权(PR:N)且无需用户交互(UI:N)。漏洞的根本原因在于管理接口的某些未知功能未实施严格的访问控制检查,允许未授权的匿名用户直接访问受限制的管理端点。虽然影响范围被限制在本地网络,但这在内网渗透或横向移动中极具危险性。攻击成功后,可能获取敏感配置信息(C:L)、修改部分配置(I:L)或造成服务短暂中断(A:L)。厂商已确认问题并计划修复。