BROWAN PrismX MX100 控制器现高危漏洞：固件内置硬编码凭据可致数据库失陷

漏洞概述

BROWAN COMMUNICATIONS 开发的 PrismX MX100 AP 控制器存在一个使用硬编码凭据的严重漏洞，漏洞编号为 CVE-2026-1221。该漏洞允许未经身份验证的远程攻击者，利用固件中写死的数据库凭据登录到设备数据库。

漏洞影响

• CVSS 3.1 评分：9.8（严重）
  • 攻击向量： 网络
  • 攻击复杂度： 低
  • 所需权限： 无
  • 用户交互： 无
  • 影响： 机密性、完整性和可用性均为高危
• CVSS 4.0 评分：9.3（严重）

受影响产品

目前该漏洞确认影响 BROWAN COMMUNICATIONS 的 PrismX MX100 AP 控制器。

解决方案

厂商建议立即采取以下措施进行修复：

1. 更新固件：将设备固件更新至最新版本，以移除硬编码凭据。
2. 修改默认密码：立即更改所有默认的管理和数据库凭据。
3. 限制数据库访问：仅限授权人员访问数据库。
4. 移除硬编码：确保固件中不再包含任何硬编码的敏感凭据。

技术细节与分类

该漏洞属于常见的弱点类型 CWE-798：使用硬编码凭据。

攻击者可能利用的攻击模式包括：

• CAPEC-70：尝试常见或默认用户名和密码
• CAPEC-191：读取可执行文件中的敏感常量

参考资料

• 台湾计算机应急响应中心英文公告
• 台湾计算机应急响应中心中文公告

漏洞时间线

• 2026年1月20日：漏洞由 twcert@cert.org.tw 收录并公开发布。FINISHED LQuBhaqoQIY4rPtQA72Cjg7QBqM4uFgolxdjEx1zlRg4Mu1vXX6Zv8fGkRml92PL