在營運技術 (OT)環境中廣泛使用的協作機器人作業系統 (OS) 中存在一個嚴重的命令注入漏洞，未經身份驗證的攻擊者可以利用該漏洞在系統上執行命令。利用此漏洞可能會威脅系統的完整性，並可能危及與系統互動人員的安全。

丹麥公司 Universal Robots 已修復了編號為CVE-2026-8153的漏洞，該漏洞存在於 Universal Robots PolyScope 5 的 Dashboard Server 介面中。根據該公司發布的安全公告，該漏洞的原因是 Dashboard Server 接受用戶控制的輸入，並將其傳遞給底層作業系統，而沒有對特殊元素進行適當的中和處理。

該漏洞的CVSS 3.1 基本評分為 9.8，任何能夠存取 Dashboard 伺服器網路連接埠的人都可以建構指令並在機器人作業系統上執行。這意味著，未經身份驗證的攻擊者只要擁有網路存取權限，即可實現遠端程式碼執行 (RCE) 並控制控制器。

Universal Robots 在其安全公告中指出，遠端利用 CVE-2026-8153 漏洞需要啟用機器人的控制面板伺服器（Dashboard Server），且攻擊者必須能夠存取該伺服器的連接埠。 Universal Robots 表示，其機器人經過精心設計，無法直接從互聯網存取，而且企業通常也會設置防火牆來阻止對 OT 系統的直接入站互聯網存取。

如果無法立即進行更新，Universal Robots建議採取符合CISA控制系統設備防禦指南的措施，包括將機器人和其他控制系統設備置於防火牆後，並將其與業務網路隔離，從而最大限度地減少機器人的網路暴露。 Universal Robots也表示，如果應用程式未使用PolyScope中的儀表板伺服器，管理員應將其完全停用，並在作業系統中限制對特定受信任主機或子網路的存取。

在使用任何工業控制系統 (ICS) 的環境中，應普遍遵循「嚴格劃分 IT 和OT 環境」的原則。如果操作上不需要，則應禁用儀錶板伺服器，因為「遠端管理介面是環境的控制平面，在工業環境中往往會成為高價值的攻擊面」。

資料來源：https://www.darkreading.com/ics-ot-security/patch-now-critical-flaw-ot-robot-os