Cydome公司的研究人員揭露了三個影響NAVTOR NavBox 4.12.0.3版本的漏洞。 NAVTOR NavBox是一款廣泛應用於船舶的海事連接設備，用於管理海圖更新、導航資料分發以及船岸通訊。如果該設備暴露在不受信任的網路中，這些漏洞可能允許遠端攻擊者存取船上系統中的敏感操作資訊或內部文件。

最嚴重的漏洞，編號為 CVE-2026-2752 和 CVE-2026-2753，CVSS 評分為 7.5，其根源在於裝置 HTTP 服務中缺少身分驗證控制和絕對路徑遍歷漏洞。

根據該安全公告，未經身份驗證的攻擊者可以查詢內部 API 端點，檢索包含環境資訊、配置參數、運行遙測數據和服務狀態詳情的未加密 JSON 數據，從而可能暴露船舶海上 OT（運行技術）環境的部分資訊。在路徑遍歷漏洞的情況下，精心建構的 HTTP 請求可以繞過目錄限制，允許攻擊者從主機作業系統讀取任意文件，包括敏感的設定檔。

第三個漏洞 CVE-2026-2754 允許攻擊者透過未處理的異常產生的詳細堆疊追蹤資訊外洩資料。遠端攻擊者可以透過觸發特定端點的錯誤來獲取應用程式內部詳細信息，例如類別名稱、方法呼叫以及對第三方程式庫的引用，這可能有助於偵察或進一步的攻擊嘗試。

Cydome在其公告中指出：「攻擊者可以未經授權訪問敏感的船舶運行數據，例如：未加密的實時遙測數據、網絡信息、連接到同一網絡的其他設備的信息（例如，識別ECDIS的IP地址）等等。此外，這些漏洞可能允許未經授權訪問設備的文件系統，從而被用於進一步的攻擊。」

該貼文指出，這些漏洞影響 NavBox 4.12.0.3 及更早版本，而修復後的版本已在 4.16.2.4 及之後的軟體更新中發布。建議海事運營商和船隊管理人員更新受影響的系統，並限制對暴露的 API 端點的存取，以降低未經授權訪問船載導航和運營網路的風險。

Cydome執行長Nir Ayalon在媒體聲明中表示：「航運公司目前面臨著一個巨大的挑戰。雖然他們的船隊越來越多地接入低地球軌道（LEO）寬頻服務，但他們的營運技術（OT）設備卻比以往任何時候都更容易受到網路威脅。Cydome的使命是促進航運業和海上旅行的安全，為此，我們識別並負責任地發布了NavBox漏洞，以幫助防範這些漏洞攻擊者在惡意行為之前就已經幫助利用這些漏洞，以幫助防範。

NAVTOR網路安全官Tyr Steffensen表示：「NAVTOR致力於維護最高的產品安全標準，並歡迎善意的安全研究和協調一致的漏洞披露。在Cydome提交負責任的報告後，我們核實了其中三項發現，並確認它們會影響舊版NavBox v4.12.0.3。」

Steffensen表示這些問題已修復。 CVE-2026-2753已在NavBox v4.14.1.2及後續版本中修復，該版本於2024年底發布。 CVE-2026-2752和CVE-2026-2754已在NavBox v4.16.2.4及後續版本中修復，該版本於去年11月發布。

本月初，Cydome發布的一份報告指出，營運技術（OT）和海事網路安全事件急劇增加。報告稱，針對該行業的勒索軟體攻擊在2025年將增加150%。 GPS系統欺騙攻擊激增，每天通報的事件高達1000起，影響約4萬艘船舶。針對邊緣設備（包括路由器、VPN和防火牆）的攻擊增加了800%，反映出互聯海事基礎設施面臨的威脅情況日益嚴峻。報告稱，2025年將新增5萬個漏洞，其中52個被評為「高風險」或「嚴重」漏洞，同時87%的組織認為人工智慧（AI）相關漏洞是2025年成長最快的網路風險。

原文連結：https://industrialcyber.co/transport/cydome-flags-navtor-navbox-path-traversal-and-authentication-flaws-exposing-vessel-data-networks-to-cyber-risk/