漏洞概述 漏洞名称: Aqara Developer Portal cross-origin resource sharing CVE编号: CVE-2026-50088 CVSS评分: 8.2 (High) 漏洞类型: 跨域资源共享(CORS)配置错误 影响范围 受影响产品: Aqara Developer Portal, Aqara Developer Test Portal 具体影响: - 和 都反射到 ,导致跨域资源共享。 - 和 的 在实际的 GET/POST 响应中允许任何来源。 - 这些测试环境共享生产用户数据库,因此相同的账户存在性查询(代码:10023 vs code:10024)返回相同的结果。 修复方案 修复状态: 2026-04-20 厂商表示问题已修复。 详细修复信息: 更多具体修复细节和修复措施请参阅研究人员的网站 https://github.com/xn0tsta/theres-no-place-like-home。 时间线 2026-03-13: 研究人员发现并联系厂商。 2026-03-30: 研究人员第二次联系厂商。 2026-04-08: 厂商修复了各种发现和问题。 2026-04-20: 确认研究人员的报告。 2026-04-20: 厂商表示问题已修复。 2026-06-11: 公开披露(首次联系后90天)。 其他信息 研究人员: Sammy Azdoulf 协调方: Tod Beardsley (runZero, Inc.) POC代码 页面中未提供具体的POC代码或利用代码。