施耐德电气修补EcoStruxure Process Expert关键漏洞（CVE-2026-23080）

施耐德电气修补EcoStruxure Process Expert关键漏洞

施耐德电气（Schneider Electric）近日发布安全更新，旨在缓解影响其EcoStruxure Process Expert和EcoStruxure Process（适用于AVEVA System Platform）产品的严重漏洞（CVE-2026-23080）。该漏洞由**美国网络安全与基础设施安全局（CISA）**披露，攻击者若成功利用，可能远程执行任意代码。

技术细节

该漏洞（编号ICSMA-26-022-01）被归类为输入验证不当（improper input validation）问题，其CVSS v3.1基础评分高达9.8（Critical）。受影响的产品版本包括：

• EcoStruxure Process Expert（所有v2023之前的版本）
• EcoStruxure Process（所有v2023之前的版本）

成功利用该漏洞可能使攻击者远程执行代码，进而导致工业控制环境中出现未经授权的系统访问、流程中断或数据篡改等风险。截至本公告发布，尚未发现公开的漏洞利用或主动攻击事件。

影响分析

EcoStruxure Process Expert广泛部署于关键基础设施领域，包括能源、水务和制造业。一旦遭到入侵，可能造成以下后果：

• 工业流程中的运营停机
• 因控制系统被篡改导致的安全风险
• 敏感流程数据被窃取导致的数据泄露

修补建议

施耐德电气强烈建议用户立即升级至v2023或更高版本。此外，还可采取以下缓解措施：

• 将受影响系统与不可信网络隔离
• 实施网络分段，限制横向移动
• 在OT环境中监控可疑活动

详细技术信息请参阅CISA公告或CSAF文档。

此漏洞凸显了OT环境中及时修补的重要性，尤其是在传统系统通常缺乏现代安全控制的情况下。