←返回安全公告
IP 信息泄漏
摘要:
openapi/device/status 接口响应返回设备外网 IP,存在 IP 地址遭未授权人员获取的泄露风险
CVSS (Base Score):
7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
攻击条件:
攻击者若持有对应设备访问权限、密钥等鉴权凭据,即可调用该 API 读取返回数据内的设备 IP 信息。
风险:
受影响的部分设备外网 IP 地址存在泄露风险,可能导致攻击者进一步扫描探测。
影响范围:
影响设备状态查询相关的场景,涉及设备 IP 等网络标识信息的机密性。
修复方案:
已经禁用此接口。
致谢
感谢 Sammy Azdoufal 在本漏洞的发现与协调披露过程中给予的宝贵帮助。