返回安全公告
发布者:安全团队
发布时间:2026-03-12

IP 信息泄漏

摘要:
openapi/device/status 接口响应返回设备外网 IP,存在 IP 地址遭未授权人员获取的泄露风险

CVSS (Base Score):

7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

攻击条件:

攻击者若持有对应设备访问权限、密钥等鉴权凭据,即可调用该 API 读取返回数据内的设备 IP 信息。

风险:

受影响的部分设备外网 IP 地址存在泄露风险,可能导致攻击者进一步扫描探测。

影响范围:

影响设备状态查询相关的场景,涉及设备 IP 等网络标识信息的机密性。

修复方案:

已经禁用此接口。
致谢

感谢 Sammy Azdoufal 在本漏洞的发现与协调披露过程中给予的宝贵帮助。