CVE-2026-5569: Technostrobe 塔灯访问控制漏洞 漏洞概述 漏洞名称: Hacking the Sky: Broken Access Control on Technostrobe Tower Lights CVE编号: CVE-2026-5569 CWE: CWE-284 - Improper Access Control CVSS v3.1: 9.1 Critical Technostrobe HI-LED-WR120-G2 航空障碍灯控制器存在完全无访问控制的致命缺陷。该设备用于广播塔、风力发电机、摩天大楼等关键航空安全设施,但嵌入式Web管理界面没有任何身份验证机制。 "安全"模型: 仅通过URL参数 和 判断身份,无会话管理、无签名验证、无数据库检查。 --- 影响范围 关键攻击向量: 仅为Base64编码的十六进制令牌(非签名、非时效、完全可重放) 密码修改端点无需当前密码、无CSRF令牌、无会话验证 --- 完整POC代码 密码修改利用(Bug 0.5) 攻击流程 其他无需认证的访问 --- 修复方案 --- 设备信息: Technostrobe HI-LED-WR120-G2, 固件 5.5.180.83.38 (2018年构建), 运行9天+未重启