CVE-2026-28767CVE-2026-28767 是一个存在于Gardyn智能园艺设备管理接口中的认证绕过漏洞。由于系统未对特定的管理端点(notifications)实施适当的身份验证机制,远程攻击者无需用户登录或交互即可直接访问该端点。该漏洞可能导致攻击者获取本应受保护的敏感通知信息,造成机密性泄露,但对系统的完整性和可用性无直接影响。
该漏洞的根本原因在于Web服务器或后端API对特定管理路径的访问控制策略配置不当。在正常的业务逻辑中,访问“notifications”端点应当验证用户的身份凭证(如Session Cookie或Token)。然而,受影响的版本在处理针对该端点的HTTP请求时,跳过了身份验证检查环节。攻击者可以通过网络向量向目标服务器发送恶意的HTTP GET或POST请求。由于攻击复杂度低且无需任何权限,一旦请求到达服务器,系统将直接返回管理通知数据。这属于CWE-862(缺失授权)类型的漏洞,允许未授权的读取操作。