丹麥公司 Universal Robots 專門從事協作式工業機器人（或稱為 cobot）的生產，該公司已修復了影響其作業系統的一個嚴重漏洞。上週，網路安全機構CISA和Universal Robots發布的公告顯示，該公司用於驅動和控制協作機器人的作業系統和 GUI PolyScope 5 受到 CVE-2026-8153 的影響，這是一個存在於 Dashboard Server 介面中的作業系統命令注入漏洞。

此缺陷被評為嚴重，CVSS 評分為 9.8，並已在 PolyScope 5.25.1 中修復。儀錶板伺服器接收用戶控制的輸入，並將其傳遞給底層作業系統，但並未對特殊元素進行適當的屏蔽。未經身份驗證的攻擊者如果能夠通過網路存取儀錶板伺服器端口，就可以構造在機器人操作系統上執行的命令，從而導致遠程代碼執行和控制器被攻破，嚴重影響系統的機密性、完整性和可用性。

供應商在其公告中指出：遠端利用 CVE-2026-8153 漏洞需要啟用機器人的控制面板伺服器（位於用戶界面中），並且攻擊者可以存取其端口。UR 機器人並非設計為可直接從互聯網存取，而且公司防火牆通常會阻止直接的入站互聯網存取。

然而，因發現並報告 CVE-2026-8153 而受到 Claroty 安全研究員 Vera Mens 指出，雖然許多工業機器人缺乏遠端管理接口，但 Universal Robots 生產的協作機器人有一個帶有以太網端口的控制盒，可以按需使用。

Mens告訴SecurityWeek ：客戶可以使用此選項向中央管理單元傳輸訊息，使用MODBUS和EtherNet/IP等傳統現場協定來操控其他OT設備，或遠端控制協作機器人。雖然這些網路通常不會公開，但它們往往結構扁平且缺乏適當的網路分段；因此，取得初始存取權限可能並不困難。

資料來源：https://www.securityweek.com/critical-vulnerability-exposes-industrial-robot-fleets-to-hacking/