文章总结: BeyondTrust修复了影响RemoteSupport和PrivilegedRemoteAccess产品的多个严重漏洞,包括两个CVSS评分9.2的认证绕过漏洞(CVE-2026-40138和CVE-2026-40139),可导致未认证攻击者未授权访问设备。其他漏洞涉及拒绝服务和越权访问。这些漏洞已在RS25.3.3和PRA25.3.3版本中修复,用户应尽快升级。 综合评分: 90 文章分类: 漏洞预警,安全工具,解决方案,应用安全,网络安全
BeyondTrust 修复多个严重的认证绕过漏洞
Ravie Lakshmanan Ravie Lakshmanan
代码卫士
2026年7月7日 17:22 北京
在小说阅读器读本章
去阅读
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
BeyondTrust发布更新,修复了影响 Remote Support(RS)和 Privileged Remote Access(PRA)产品的两个严重安全漏洞(CVE-2026-40138和CVE-2026-40139)。若成功利用,未认证的攻击者可控制易受攻击的设备。
BeyondTrust 修复的漏洞列表如下:
CVE-2026-40138(CVSS 评分:9.2)——BeyondTrust Remote Support 和 Privileged Remote Access 的认证子系统中的预认证漏洞,根源在于对认证数据的验证不当,可能导致网络位置攻击者绕过访问控制,未授权访问设备,包括具有高权限的账户。
CVE-2026-40139(CVSS 评分:9.2)——BeyondTrust Remote Support 的认证子系统中的预认证漏洞,根源在于对认证请求的处理不当,可导致未认证远程攻击者绕过访问控制,未授权访问设备,包括具有高权限的账户。
CVE-2026-40140(CVSS 评分:8.7)——网络通信子系统中的预认证漏洞,源于对客户端提供输入的验证不足,可导致未认证的远程攻击者触发拒绝服务条件,影响设备可用性。
CVE-2026-40141(CVSS 评分:8.5)——BeyondTrust Remote Support 和 Privileged Remote Access 的 Web 应用组件的漏洞,源于对用户提供输入的验证不足,可能导致具有有限权限的已认证攻击者访问其授权范围之外的意外资源或数据。
值得注意的是,CVE-2026-40138 和 CVE-2026-40139 的成功利用取决于是否启用了特定的认证配置。而 CVE-2026-40141的利用,仅局限于具有特定权限的账户。
BeyondTrust 表示,所有漏洞均通过内部持续安全评估发现,并借助了公开可用的人工智能模型(如 Anthropic Claude Opus 4.8)以及自身专有的研究工具。
该公司称:“最严重的漏洞可导致未认证的远程攻击者在特定配置下绕过访问控制,未授权访问设备。其它漏洞可能导致服务中断、非预期的数据访问,以及在特定配置下,已认证用户获得可能影响系统完整性的提权。”
这些漏洞已在以下版本中得到修复:
- Remote Support RS 25.3.2 及更低版本(已在 RS 25.3.3 及以上版本修复)
- Privileged Remote Access PRA 25.3.2 及更低版本(已在 PRA 25.3.3 及以上版本修复)
BeyondTrust 公司未提及这些漏洞是否已被在野利用。然而,RS 和 PRA 产品过往的安全漏洞(CVE-2024-12356 和 CVE-2026-1731)曾多次被用于部署 Web shell 和后门,因此用户必须尽快应用修复程序。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
BeyondTrust 严重漏洞可导致预认证RCE
BeyondTrust:注意远程支持软件中的预认证RCE
OpenBSD 修复已存在27年的 PPP 协议栈认证绕过漏洞
phpBB 论坛软件修复已存在10年的认证绕过漏洞
PAN-OS GlobalProtect 认证绕过漏洞已遭活跃利用
原文链接
https://thehackernews.com/2026/07/beyondtrust-patches-critical-auth.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 “赞” 吧~
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:代码卫士 Ravie Lakshmanan Ravie Lakshmanan《BeyondTrust 修复多个严重的认证绕过漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论