CVE-2026-5569Technostrobe HI-LED-WR120-G2 5.5.0.1R6.03.30版本被发现存在严重的访问控制不当漏洞。该漏洞位于 /Technostrobe/ 组件的Endpoint处理逻辑中,由于未对用户请求进行严格的权限验证,导致未经身份认证的远程攻击者可直接访问受限制的功能。攻击者无需用户交互即可利用此漏洞,进而可能导致系统敏感信息泄露、数据被篡改或服务不可用。目前利用代码已公开且厂商尚未提供修复方案,建议用户尽快采取临时防护措施。
该漏洞属于典型的Broken Access Control(访问控制失效)类型。漏洞产生的根本原因是Technostrobe HI-LED-WR120-G2设备在处理 /Technostrobe/ 路径下的HTTP请求时,未能正确实施身份认证和授权检查。攻击者可以通过网络向量(AV:N)向受影响设备发送恶意构造的请求包。由于CVSS向量显示无需权限(PR:N)且无需用户交互(UI:N),攻击过程非常隐蔽且易于自动化。攻击成功后,可导致机密性、完整性和可用性的低程度受损(C:L/I:L/A:L),具体表现为读取设备配置信息、修改运行参数或导致部分服务中断。鉴于多个端点均受影响,攻击面较广,且目前厂商尚未响应,漏洞风险较高。此外,由于设备通常是物联网设备,可能直接暴露在互联网上,进一步增加了被攻击的风险。