←返回安全公告
早期门铃访客抓拍无强鉴权
摘要:
早期接入 EMQX、且固件版本低于 3.0.0 的门铃设备,访客抓拍图片接口存在无鉴权访问漏洞;该问题已于 2022 年 5 月完成修复,但用户尚未完成全量升级整改。
CVSS (Base Score):
7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
攻击条件:
攻击者订阅相关 EMQX 主题,结合 EMQX 侧已知问题,获取 msgid=111 的消息并从中提取 picUrl,再对该 URL 发起 HTTP GET 请求即可获取图片。
风险:
数据经由 EMQX 等消息链路传输时,未授权攻击者可窃取访客门铃抓拍图片,引发隐私泄露风险;该缺陷一般无法实现设备接管或远程代码执行漏洞(RCE)。
影响范围:
早期接入 EMQX、且设备固件版本低于 3.0.0 的访客门铃产品;完成升级至 3.0.0 及以上版本后不再受此问题影响。
修复方案:
即刻关停 EMQX 服务,针对服务器存储的该部分图片启用图片强校验机制。
致谢
感谢 Sammy Azdoufal 在本漏洞的发现与协调披露过程中给予的宝贵帮助。