PX4(一款用于无人机和自动驾驶车辆的开源自动驾驶仪协议栈)中发现了一个漏洞(CVE-2026-1579),该漏洞允许攻击者在访问 MAVLink 接口时,无需加密认证即可在设备上执行任意 shell 命令。该问题被评为严重级别(9.8 分,满分 10 分)。
该漏洞是由于 MAVLink 协议默认未使用加密认证造成的,这允许任何消息发送给未经授权的方。攻击者可以发送“SERIAL_CONTROL”消息,从而获得在交互式命令 shell 中执行代码的权限。作为一种解决方法,建议为除 USB 连接之外的所有通信通道启用 MAVLink 消息的数字签名。
来源: opennet.ru
