漏洞关键信息 漏洞标题: Akuvox Smart Intercom/Doorphone ServicesHTTPAPI Improper Access Control 漏洞ID: ZSL-2024-5862 类型: Local/Remote 影响: Security Bypass, Elevation of Privileges 风险等级: 4/5 发布日期: 26.11.2024 摘要 Akuvox X912是一款针对高端住宅和商业项目设计的防破坏门禁电话。其HTTPAPI端点存在不安全的服务API访问控制,允许用户以“用户”权限修改API访问设置和配置。这可能导致权限提升,使未经授权的用户访问管理功能。 影响版本 Doorphone: S539、S532、X916、X915、X912、R29等型号 Intercom: E16C、R20K-2、R20A-2等型号 Firmware: 912.30.1.137 测试环境 Lighttpd/1.4.30 EasyHttpServer 厂商状态 25.02.2024: 漏洞被发现 19.03.2024: 联系厂商 20.03.2024: 厂商回复并要求更多细节,发送PGP密钥 29.03.2024: 厂商开始修复 02.04.2024: 与厂商合作测试 29.10.2024: 厂商发布版本915.30.10.158修复此问题 26.11.2024: 公共安全公告发布 证明概念 文件: akuvox_eop.txt 致谢 漏洞由Gjoko Krstic发现,邮箱: gjoko@zeroscience.mk 参考 1. PacketStormSecurity 2. cxsecurity 更改日志 26.11.2024: 初始发布 27.11.2024: 添加参考[1] 23.12.2024: 添加参考[2]