返回安全公告
发布者:安全团队
发布时间:2026-03-12

早期门铃访客抓拍无强鉴权

摘要:
早期接入 EMQX、且固件版本低于 3.0.0 的门铃设备,访客抓拍图片接口存在无鉴权访问漏洞;该问题已于 2022 年 5 月完成修复,但用户尚未完成全量升级整改。

CVSS (Base Score):

7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

攻击条件:

攻击者订阅相关 EMQX 主题,结合 EMQX 侧已知问题,获取 msgid=111 的消息并从中提取 picUrl,再对该 URL 发起 HTTP GET 请求即可获取图片。

风险:

数据经由 EMQX 等消息链路传输时,未授权攻击者可窃取访客门铃抓拍图片,引发隐私泄露风险;该缺陷一般无法实现设备接管或远程代码执行漏洞(RCE)。

影响范围:

早期接入 EMQX、且设备固件版本低于 3.0.0 的访客门铃产品;完成升级至 3.0.0 及以上版本后不再受此问题影响。

修复方案:

即刻关停 EMQX 服务,针对服务器存储的该部分图片启用图片强校验机制。
致谢

感谢 Sammy Azdoufal 在本漏洞的发现与协调披露过程中给予的宝贵帮助。