漏洞概述
BROWAN COMMUNICATIONS 开发的 PrismX MX100 AP 控制器固件中存在硬编码数据库凭证,导致未经身份验证的远程攻击者可利用该漏洞直接登录数据库,造成严重安全风险。该漏洞已被分配 CVE 编号 CVE-2026-1221,CVSS v3.1 评分为 9.8(CRITICAL)。
漏洞详情
- CVE 编号:CVE-2026-1221
- 漏洞类型:硬编码凭证(CWE-798: Use of Hard-coded Credentials)
- CVSS 评分:9.8(CRITICAL,CVSS v3.1);9.3(CRITICAL,CVSS v4.0)
- 影响版本:PrismX MX100 AP 控制器(具体受影响固件版本未在公告中明确列出)
影响范围
该漏洞影响 BROWAN COMMUNICATIONS 生产的 PrismX MX100 AP 控制器设备。由于硬编码凭证嵌入在固件中,所有使用该固件的设备均可能受到影响,尤其是在暴露于公网或未受保护的网络环境中。
风险分析
攻击者无需任何身份认证即可通过网络远程利用该漏洞,直接访问设备内置数据库。可能导致敏感配置信息泄露、设备控制权被接管、完整性遭到破坏,甚至作为跳板进一步渗透内网系统,构成严重的远程代码执行或持久化后门风险。
修复建议
- 建议用户立即联系 BROWAN COMMUNICATIONS 官方获取最新安全固件并进行升级。
- 在官方补丁发布前,应将设备置于受控网络环境中,限制其对外暴露,尤其是禁止从互联网直接访问管理接口或数据库端口。
