文章总结： 西门子于2026年5月12日披露ROS#库存在严重路径遍历漏洞CVE-2026-41551，CVSS评分9.3。该漏洞源于文件服务器未对输入路径进行过滤，允许攻击者在受影响的系统上读写任意文件，可能导致专有代码泄露或恶意文件植入。漏洞影响V2.2.2之前所有版本，建议立即升级至V2.2.2；若无法升级，需采取网络隔离、最小权限运行、限制服务用途等缓解措施。 综合评分： 82 文章分类： 漏洞预警,漏洞分析,解决方案,工业控制系统安全,供应链安全

西门子 ROS# 存在严重漏洞，可实现任意文件访问和主机接管

sec随谈 sec随谈

sec随谈

2026年5月13日 08:57 北京

在小说阅读器读本章

去阅读

2026年5月12日，西门子产品安全应急响应小组 (ProductCERT) 发布了一份重要的安全公告，指出 ROS# 中存在一个严重漏洞。ROS # 是一个流行的开源库，用于连接 .NET 应用程序（例如 Unity）和机器人操作系统 (ROS)。该漏洞编号为CVE-2026-41551，CVSS v4.0 评分为 9.3，表明其对机器人仿真和工业自动化系统构成严重风险。

问题出在 ROS# 的文件服务器服务中。由于缺乏适当的输入清理机制，该框架容易受到路径遍历攻击。本质上，由于用户提供的路径未经清理，攻击者可以绕过预期目录，访问系统的敏感区域。

根据安全公告，该漏洞“可能允许攻击者访问（即读取和写入）托管该服务的系统上的任意文件”。这意味着远程攻击者有可能窃取专有代码或植入恶意文件，并拥有与运行该服务的用户相同的权限。

该漏洞影响 ROS# V2.2.2 之前的所有版本。值得注意的是，ROS# 通信基于基本的、未加密的异步 WebSocket，因此西门子强调“ROS# 仅供在受信任的本地网络中使用”。

如果您的机器人环境暴露于更广泛的互联网或公司网络中不受信任的部分，则遭受攻击的风险将呈指数级增长。

西门子迅速采取行动修复了该缺陷，并“建议更新到最新版本”，即V2.2.2。

对于无法立即进行升级的组织，西门子提供了几项关键的缓解措施来减少攻击面：

• 隔离服务：确保文件服务器仅在受信任的网络上运行。
• 限制权限：以运行该服务所需的最低用户权限运行该服务。
• 严格的操作用途：该服务应仅用于其主要设计目标——传输 URDF 文件——而不应在后台持续运行。
• 手动控制：如果可能，请手动执行文件传输，而不是依赖自动服务。

参考链接：

https://cert-portal.siemens.com/productcert/html/ssa-357982.html

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《西门子 ROS# 存在严重漏洞，可实现任意文件访问和主机接管》