CRITICALCVE-2020-10272CVSS 10

RVD#2554: MiR ROS 计算图缺乏身份验证机制

平台

other

组件

rvd

修复版本

2.8.2

AI Confidence: highNVDEPSS 0.5%已审阅: 2026年5月

在NVD查看

保存

CVE-2020-10272 描述了在 MiR 机器人系列（包括 MiR100 和 MiR200）中发现的严重漏洞。该漏洞源于机器人使用 Robot Operating System (ROS) 的默认配置，导致计算图暴露且缺乏身份验证机制。攻击者如果能够访问机器人的内部无线或有线网络，就可能无授权地控制机器人，造成严重的安全风险。受影响的版本包括 ROS 2.8.1.1 及更早版本，建议尽快升级至 2.8.2 版本以修复此问题。

影响与攻击场景

该漏洞的影响极其严重，攻击者可以完全控制受影响的 MiR 机器人。攻击者可以通过内部网络访问 ROS 接口，无需任何身份验证即可发送指令，操控机器人的运动、操作以及其他功能。这可能导致机器人被用于恶意目的，例如破坏生产流程、造成物理损坏，甚至威胁到人员安全。结合 CVE-2020-10269 和 CVE-2020-10271，攻击者可以进一步扩大其控制范围，实现更复杂的攻击目标。由于 MiR 机器人通常在工业环境中部署，因此该漏洞可能对制造业、物流业等行业造成重大影响。

利用背景

目前，该漏洞的公开利用情况尚不明确，但由于其严重性，存在被利用的风险。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的安全风险。建议密切关注安全社区的动态，以及是否存在公开的利用代码或攻击报告。NVD 发布日期为 2020 年 6 月 24 日。

哪些人处于风险中翻译中…

Organizations utilizing MiR robots in manufacturing, logistics, or warehousing environments are at risk. This includes facilities with shared internal networks, legacy robot deployments without network segmentation, and those relying on default ROS configurations without proper security hardening. Any environment where robots interact with sensitive data or critical infrastructure is particularly vulnerable.

检测步骤翻译中…

• linux / server: Monitor network traffic for unusual connections to the robot's ROS services. Use ss or lsof to identify processes listening on exposed ports.

ss -tulnp | grep :11311 # ROS Master port

• linux / server: Examine system logs (journalctl) for authentication failures or unauthorized access attempts to ROS services.

journalctl -u ros_master | grep -i authentication

• generic web: Check for exposed ROS endpoints by attempting to access them via curl.

curl http://<robot_ip>:11311/get_node_info

攻击时间线

2020-06-24Disclosure
disclosure
2020-06-24Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.47% (65% 百分位)

CVSS 向量

受影响的软件

组件rvd

供应商Mobile Industrial Robots A/S

影响范围修复版本

v2.8.1.1 and before – v2.8.1.1 and before2.8.2

弱点分类 (CWE)

CWE-306

时间线

已保留2020-03-10
发布日期2020-06-24
修改日期2024-09-17
EPSS 更新日期2026-04-02

缓解措施和替代方案

修复此漏洞的首要措施是立即升级 MiR 机器人的 ROS 版本至 2.8.2 或更高版本。在无法立即升级的情况下，可以考虑以下缓解措施：首先，严格限制对机器人内部网络的访问权限，仅允许授权人员连接。其次，实施网络分段，将机器人网络与其他网络隔离，以减少攻击面。此外，可以考虑使用防火墙或入侵检测系统来监控网络流量，并检测可疑活动。虽然没有特定的 WAF 或代理规则可以完全阻止此漏洞，但加强网络安全措施可以降低被攻击的风险。升级后，请验证 ROS 版本是否已成功更新，并确认机器人是否不再暴露计算图。

修复方法

将 MiR 机器人的软件更新到实现 ROS 计算图身份验证机制的版本。请参阅制造商 (Mobile Industrial Robots A/S) 的文档以获取最新的安全更新和安装说明。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2020-10272 — ROS 控制漏洞在 MiR 机器人中?

CVE-2020-10272 是一个严重的安全漏洞，影响 MiR 机器人系列，由于 ROS 默认配置未进行身份验证，攻击者可以通过内部网络控制机器人。

我是否受到 CVE-2020-10272 在 MiR 机器人中的影响?

如果您的 MiR 机器人运行 ROS 2.8.1.1 或更早版本，则可能受到影响。请立即检查您的 ROS 版本。

如何修复 CVE-2020-10272 在 MiR 机器人中?

建议升级 MiR 机器人的 ROS 版本至 2.8.2 或更高版本。

CVE-2020-10272 是否正在被积极利用?

目前没有公开的利用案例，但由于漏洞的严重性，存在被利用的风险。

在哪里可以找到 MiR 官方关于 CVE-2020-10272 的公告?

请访问 MiR 官方网站或联系 MiR 技术支持获取官方公告和安全建议。