CVE-2026-5572Technostrobe HI-LED-WR120-G2 5.5.0.1R6.03.30版本中被发现存在一处安全漏洞,涉及未知功能的处理逻辑缺陷。该漏洞允许跨站请求伪造(CSRF),即攻击者可以通过诱导受害者点击特制的链接或访问恶意网页,利用受害者的浏览器会话向目标服务器发送非预期的请求。这种攻击无需获取受害者的凭证即可执行,可能导致系统设置被篡改或数据完整性受损。鉴于漏洞利用代码已公开且厂商尚未响应,该设备面临潜在的安全威胁。
该漏洞属于典型的跨站请求伪造(CSRF)漏洞,其根本原因在于受影响的产品Technostrobe HI-LED-WR120-G2在处理关键功能请求时,未对请求的来源合法性进行严格验证,具体表现为缺乏足够的CSRF Token机制或未对HTTP Referer头进行有效校验。在漏洞利用过程中,攻击者首先需要侦察目标设备的管理接口,确定存在CSRF缺陷的具体端点和参数。随后,攻击者构建一个包含恶意HTML或JavaScript代码的网页,该代码会向目标设备的URL发起非预期的HTTP请求(如POST或GET请求)。由于浏览器在发送同源请求时会自动携带用户的身份凭证(如Session Cookie),当已登录管理后台的受害者访问攻击者构造的恶意网页时,浏览器会在后台静默发送请求。目标服务器接收到请求后,因缺乏有效的防御机制,误以为是用户合法的操作指令并予以执行。根据CVSS 3.1向量分析,该漏洞攻击复杂度为低,且主要影响系统的完整性(I:L),允许攻击者在未经授权的情况下修改设备配置或特定数据。