Avation Light Engine Pro 身份验证严重漏洞可致系统遭远程攻击

Avation Light Engine Pro 被发现身份验证绕过漏洞

西班牙国家网络安全研究所（INCIBE）近日发布紧急预警，称在工业和商业环境中广泛使用的照明控制系统 Avation Light Engine Pro 中发现一处严重的身份验证缺陷。该漏洞被追踪为 CVE-2026-XXXX，允许未经身份验证的远程攻击者访问受影响的系统，构成严重安全风险。

技术细节

该漏洞源于 Light Engine Pro 的 Web 界面和 API 端点中缺失身份验证机制。拥有设备网络访问权限的攻击者可利用此漏洞：

• 完全绕过身份验证
• 执行未经授权的命令
• 控制照明基础设施
• 进一步渗透至其他连接系统

截至发稿时，有关该漏洞利用链的具体技术细节尚未公开，以防止被滥用。然而，安全研究人员强调，该漏洞无需高级技术技能即可轻易利用。

影响分析

Light Engine Pro 中缺乏身份验证机制会产生多种攻击向量：

• 未经授权访问：远程攻击者可操纵照明系统，干扰关键基础设施（如医院、数据中心或制造工厂）的运行。
• 横向移动：被入侵的照明系统可能成为攻击者渗透更广泛 OT/IT 网络的入口。
• 拒绝服务（DoS）：攻击者可禁用照明控制，导致运营中断或安全隐患。

INCIBE 已将该漏洞评级为高危，因其在工业环境中具有广泛的潜在利用风险。

建议措施

INCIBE 和 Avation 敦促受影响的组织立即采取行动：

1. 安装补丁：Avation 预计将发布固件更新以修复该漏洞。用户应密切关注供应商的官方渠道获取更新。
2. 网络隔离：使用 VLAN 或防火墙将 Light Engine Pro 设备与企业网络及关键系统隔离。
3. 访问控制：通过 IP 白名单或 VPN 限制对设备 Web 界面和 API 的网络访问。
4. 监控：部署入侵检测系统（IDS）以监测针对 Light Engine Pro 设备的异常流量。
5. 临时缓解措施：如无法立即安装补丁，建议禁用设备的远程访问功能。

更多详情，请参阅 INCIBE 的官方安全公告。