CVE-2026-5572: Technostrobe 密码修改 CSRF 漏洞 漏洞概述 标题: One Click to Own the Tower: CSRF on Technostrobe Password Change 设备: Technostrobe HI-LED-WR120-G2 控制器 固件版本: 5.5.0.186.03.30 CWE: CWE-352 — Cross-Site Request Forgery CVSS v3.1: 8.8 (High) — AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 该设备管理风力涡轮机障碍灯,其密码修改端点存在严重的CSRF漏洞:无需任何会话验证,攻击者可通过构造恶意链接,在受害者点击后静默修改管理员密码,实现完全接管设备。 --- 影响范围 关键风险: CSRF成为防火墙绕过手段——通过具有访问权限的受害者浏览器路由攻击。 --- POC代码 基础POC(需点击提交) 全自动利用(无需点击) 在 前添加一行: > 现在只需访问页面即可触发攻击,无需按钮点击,无需用户交互。 --- 攻击流量示例 解码新密码: --- 缺失的安全防护 --- 修复方案 CSRF防护 — 修复步骤 --- 发现者 Mohamed Shahat (@shiky8) --- 参考 CWE-352: Cross-Site Request Forgery (CSRF) OWASP CSRF Prevention Cheat Sheet PortSwigger — CSRF MDN — SameSite cookies --- > "One phishing link. One admin account. One tower lighting system. All yours."