CVE-2026-5573:Technostrobe 未授权文件上传漏洞 漏洞概述 标题:Upload Anything, Run Anything: Unauthenticated File Upload on Technostrobe CVE编号:CVE-2026-5573 CWE分类: CWE-434:Unrestricted Upload of File with Dangerous Type CWE-306:Missing Authentication CVSS v3.1:9.8 (Critical) — AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 核心问题:Technostrobe HT-LED-WR120-G2 航空障碍灯控制器存在未授权任意文件上传漏洞。该设备的 端点无需认证即可接受文件上传,攻击者可指定任意目录路径,直接将文件写入设备文件系统,导致远程代码执行。 --- 影响范围 受影响设备: 设备:Technostrobe 型号:HT-LED-WR120-G2 控制器:MCU2-X (Master Controller Hub) 固件版本:5.5.0_180.83.30 构建日期:Jun 30 2018 攻击场景: 行业影响:航空障碍灯是FAA、ICAO、加拿大交通部等法规要求的航空安全关键基础设施,失效可能导致航空事故和重大监管处罚。 --- POC代码 基础利用(文件上传) 验证上传成功 配置覆盖攻击(创建后门) Shell脚本Payload示例 危险路径参数示例 --- 修复方案 文件上传加固措施 安全上传实现对比 漏洞版本(Technostrobe): 安全版本: --- RCE升级路径 --- 发现者:Mohamed Shahat (@shiky8) 参考: CWE-434: Unrestricted Upload of File with Dangerous Type CWE-306: Missing Authentication for Critical Function OWASP: Unrestricted File Upload CISA ICS Advisory - Embedded Device Web Servers