Uma vulnerabilidade identificada como CVE-2026-8153, com uma classificação de gravidade de 9,8 em 10, foi identificada em todas as versões do sistema operacional do robô até a versão 5.25.1 do Universal Robots PolyScope. Um atacante não autorizado com acesso à porta de rede do servidor Dashboard pode emitir comandos que são executados no sistema operacional subjacente do robô.
Fonte da imagem: Cash Macanaya / unsplash.com
A vulnerabilidade pode levar à completa invasão do controlador do robô, afetando a confidencialidade, a integridade e a disponibilidade de todo o sistema. Um hipotético atacante poderia injetar comandos arbitrários, que o robô executaria com privilégios totais de sistema. O desenvolvedor lançou uma atualização para o PolyScope 5.25.1, que está disponível no site, mas os clientes precisarão instalá-la por conta própria.
Para explorar a vulnerabilidade remotamente, o componente Dashboard Server deve estar habilitado na interface do usuário e a porta de rede deve estar acessível ao atacante. O desenvolvedor enfatizou que os produtos da Universal Robots não são projetados para acesso direto pela internet e que o acesso à rede local geralmente é bloqueado por ferramentas de segurança corporativas.
Isso significa que um ataque ao sistema robótico poderia ser realizado por meio da invasão de uma estação de trabalho na mesma rede local. O comportamento de um robô invadido pode ser imprevisível, já que uma pessoa desconhecida assumiu o controle. Não é possível descartar sequer um cenário em que o robô possa causar danos a funcionários próximos a ele.