TVN-202601009 - 銘祥科技 IoT 監測系統嚴重驗證漏洞
基本資訊
- 來源: TWCERT/CC
- TVN 編號: TVN-202601009
- CVE 編號: CVE-2026-1363, CVE-2026-1364
- CVSS 評分: 9.8 (Critical)
- CVSS 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- 發布日期: 2026-01-23
漏洞描述
銘祥科技實業多合一室內空氣品質監測器(IAQS)與觸控型 7 吋 IoT 預警控制系統(I6)存在 2 個嚴重驗證漏洞:
CVE-2026-1363 (CVSS 9.8 - Critical)
Client-Side Enforcement of Server-Side Security 漏洞,未經身分鑑別的攻擊者可透過前端操作取得管理員權限。
CVE-2026-1364 (CVSS 9.8 - Critical)
Missing Authentication 漏洞,未經身分鑑別的遠端攻擊者可直接存取系統管理功能。
受影響產品
- 廠商: 銘祥科技實業
- 產品:
- 多合一室內空氣品質監測器(IAQS)
- 觸控型 7 吋 IoT 預警控制系統(I6)
- 受影響版本: 所有使用 M3 晶片的設備(無法更新);M4 晶片設備已有修補程式
影響範圍
遠端、未經身分鑑別的攻擊者可完全控制設備,無需使用者互動即可取得管理員權限並執行任意操作。
解決方案
- M4 晶片設備: 廠商已發布修補程式,請立即更新
- M3 晶片設備: 無法更新,建議更換設備
使用者應聯繫廠商確認設備晶片型號並採取適當的緩解措施。