CVE-2026-5571: Technostrobe 未授权信息泄露漏洞 漏洞概述 Technostrobe HI-LED-WR120-G2 航空障碍灯控制器存在未授权文件读取漏洞。设备内置HTTP服务器的 端点无需认证即可任意下载文件,包括存储用户凭证的 和MQTT代理配置 。 漏洞类型: 敏感信息泄露 (CWE-200)、路径遍历 (CWE-22)、明文存储 (CWE-312) CVSS 3.1: 9.8 Critical --- 影响范围 --- 漏洞细节 漏洞1: 凭证文件泄露 ( ) 请求示例: 响应内容 (Base64编码的明文密码): 密码解码: --- 漏洞2: MQTT代理配置泄露 ( ) 请求示例: 泄露内容: 攻击者可执行操作: 监听模式: 订阅状态主题,静默监控所有塔台遥测数据 发布模式: 向 发送命令关闭灯光、改变闪光模式、触发虚假警报 --- 完整攻击面 ( 端点) --- 根因分析 该端点极可能是开发/调试工具,在固件发布给客户前未移除。 --- 修复方案 --- 影响总结 --- POC视频