CVE-2026-32326SHARP路由器的部分Web API接口存在身份验证缺失漏洞。由于设备未对特定API请求进行严格的权限校验,攻击者在连接到同一网络(邻接攻击向量)时,无需用户交互即可绕过认证获取设备敏感信息。如果设备管理员未修改初始默认密码,攻击者可进一步利用此漏洞完全控制设备,导致严重的信息泄露及设备被接管风险。
该漏洞的根本原因是SHARP路由器固件中针对特定Web API接口的访问控制列表(ACL)配置缺失。根据CVSS v3.0向量(AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N),攻击者需要处于邻接网络环境(如同一Wi-Fi或局域网),且具有低权限(可能是普通访客网络)。攻击过程无需用户交互。攻击者通过嗅探或枚举路由器IP,向未受保护的API路径(例如涉及系统状态或配置信息的接口)发送HTTP GET或POST请求。由于服务器端未对请求附带的Session ID或Cookie进行有效性验证,直接返回了包含设备型号、固件版本甚至网络拓扑的敏感JSON数据。虽然CVSS评分未直接赋予完整性影响,但厂商明确指出,若设备使用出厂默认密码,攻击者可利用泄露的信息或未授权的API直接修改管理员密码,从而完全接管设备,将机密性风险转化为完全的设备控制权。