CVE-2026-1612 是一种安全漏洞,存在于 AL-KO Robolinho 更新软件中,该漏洞源于硬编码的 AWS 访问密钥和私有密钥。利用这些密钥,攻击者可以访问 AL-KO 的 AWS bucket,可能获得超出应用程序本身权限的访问权限,至少可以读取 bucket 中的某些对象。已知受影响的版本为 8.0.21.0610,其他版本可能也存在风险。目前厂商未提供官方补丁。
AL-KO Robolinho 更新软件(CVE-2026-1612)中发现了一个严重漏洞。该软件包含硬编码的 AWS Access 密钥和 Secret 密钥,允许未经授权的个人访问 AL-KO 的 AWS 存储桶。此访问至少授予存储桶内某些对象的读取权限,并且可能比应用程序本身通常拥有的权限范围更广。该漏洞的关键在于,由于这些密钥直接授予的访问权限,可能导致数据泄露或篡改。版本 8.0.21.0610 和 8.0.22.0524 已确认存在漏洞,但由于供应商未响应,受影响版本的完整范围仍然未知。
了解此漏洞的攻击者可以从 Robolinho 更新软件中提取硬编码的 AWS 密钥。一旦获得这些密钥,攻击者可以使用 AWS 命令行工具或 SDK 库直接与 AL-KO 的 AWS 存储桶进行交互。授予的访问权限(至少是读取权限)允许攻击者下载文件、列出对象并可能获取机密信息。AWS 存储桶上缺乏适当的身份验证或授权会加剧风险。利用的复杂性较低,只需要最少的专业技术。
Users of AL-KO Robolinho robotic lawnmowers who have installed the affected update software versions (8.0.21.0610–8.0.22.0524) are at immediate risk. Shared hosting environments or deployments where multiple devices share the same network segment could amplify the impact, as a compromised device could be used to access the AWS bucket from within the network.
disclosure
漏洞利用状态
EPSS
0.05% (17% 百分位)
CISA SSVC
由于供应商缺乏响应以及缺乏官方补丁,因此立即缓解至关重要。强烈建议 Robolinho 用户不要使用版本 8.0.21.0610 和 8.0.22.0524。建议断开设备与互联网的连接,以防止未经授权的访问。监控 AL-KO 的 AWS 存储桶,查找可疑活动。直接联系 AL-KO 以请求安全更新并表达对该漏洞的担忧。在发布官方修复程序之前,AL-KO AWS 存储桶中存储的数据安全面临风险。
Actualizar el software de actualización de AL-KO Robolinho a una versión corregida. La vulnerabilidad consiste en claves de AWS codificadas de forma rígida, por lo que la actualización debe eliminar estas claves y utilizar un método más seguro para acceder a los recursos de AWS. Contactar con el fabricante para obtener información sobre las versiones corregidas.
漏洞分析和关键警报直接发送到您的邮箱。
版本 8.0.21.0610 和 8.0.22.0524 已确认存在漏洞。其他版本也可能受到影响。
攻击者可能访问 AL-KO AWS 存储桶中存储的任何数据,包括潜在的配置信息、用户数据和其他敏感详细信息。
断开设备与互联网的连接,并联系 AL-KO 以请求安全更新。
目前,没有公开信息说明供应商对漏洞披露没有做出响应的原因。
使用 AWS 监控工具来检测您存储桶中的异常活动。