漏洞关键信息总结 漏洞概述 漏洞描述 该嵌入式Web界面在管理端点上未能正确实施访问控制。敏感资源无需认证即可直接访问,具体包括: 受影响端点: - [0:1] 对所有人开放 - [0:2] 对所有人开放 - [0:3] 可更改密码 - [0:4] 篡改警报 (POST) - [0:5] 可更改任意密码 技术细节: 访问受保护页面不需要有效会话或认证令牌,服务器以完整的管理界面内容响应。根本原因:应用程序未在服务器端验证受保护路由的认证状态,授权检查缺失或实现不当。 影响范围 设备型号: Technostrobe HI-LED-WR120-G2 Obstruction Lighting Controller 固件版本: 5.5.0.1R6.03.30 攻击向量: 无需认证的远程攻击者 攻击者可执行的操作: 访问管理界面 查看系统配置 与设备控制交互 完全控制系统(无需凭证) 修复方案 页面中未提供具体修复方案或补丁信息。 POC/利用代码 页面中未包含POC代码或利用代码块,仅提供了概念性描述和受影响端点列表。 参考来源 https://github.com/skyitfm-y/cve-vulnerability-research/blob/main/my_VulnDB_cves/CVE-TECHNOSTROBE-01-BrokenAccessControl.md