CVE-2025-56400 CVSS 8.8 高危

CVE-2025-56400 Tuya SDK OAuth CSRF漏洞导致Alexa账户链接劫持

披露日期: 2025-11-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-56400

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Tuya SDK 6.5.0, Tuya Smart, Smartlife

漏洞概述

CVE-2025-56400是Tuya SDK 6.5.0中OAuth实现存在的跨站请求伪造漏洞。该漏洞存在于Tuya Smart和Smartlife移动应用中，影响使用该SDK的第三方应用程序。攻击者可通过构造恶意授权链接，利用OAuth流程中的state参数验证缺陷，将攻击者的Amazon Alexa账户与受害者的Tuya账户绑定。攻击成功后，攻击者能够远程控制受害者的智能设备，包括摄像头、门铃、门锁和报警系统等。

技术细节

该漏洞的根本原因在于OAuth 2.0授权流程中缺少state参数验证。攻击者构造包含预设state值的授权请求，诱导受害者点击后完成授权。系统未验证state参数的唯一性和时效性，导致攻击者可重放授权请求或劫持授权流程。

攻击链分析

STEP 1

攻击者创建Amazon Alexa账户并准备授权链接

STEP 2

攻击者诱导受害者点击恶意构造的OAuth授权链接

STEP 3

受害者账户被绑定到攻击者的Alexa账户

STEP 4

攻击者获得受害者智能设备的远程控制权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

攻击者构造恶意链接，受害者点击后自动完成OAuth授权，将攻击者的Alexa账户绑定到受害者Tuya账户。

影响范围

Tuya SDK < 6.5.0

防御指南

临时缓解措施

在OAuth授权流程中实现state参数验证，确保每次授权请求使用唯一的state值并验证其有效性。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-56400
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-56400
3 Details https://www.cvedetails.com/cve/CVE-2025-56400/
4 VulDB https://vuldb.com/cve/CVE-2025-56400
5 Link http://tuya.com
6 Link https://src.tuya.com/announcement/30

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表