CVE-2026-5573Technostrobe HI-LED-WR120-G2 设备被发现存在严重的安全漏洞。该问题出在 /fs 接口处理文件上传时存在缺陷,具体涉及对 cwd 参数的不安全处理。远程攻击者无需经过身份认证即可利用此漏洞,通过构造特定的恶意请求参数,绕过系统限制,实现不受限制的文件上传。鉴于利用代码已被公开披露,且厂商并未及时响应,该漏洞极易被用于发起自动化攻击,对设备的数据机密性、完整性和服务可用性造成严重影响。
该漏洞的核心在于 Technostrobe HI-LED-WR120-G2 固件中 /fs 端点对路径参数的验证缺失。当处理文件上传请求时,程序直接使用用户可控的 cwd 参数作为文件的存储路径,未对路径进行合法性校验或目录遍历检查。这使得攻击者能够通过发送包含恶意 cwd 值(如 ../../ 或绝对路径)的 POST 请求,将恶意文件(如 Web Shell、脚本文件)上传到系统的敏感目录(如 Web 根目录)。由于 CVSS 评分为 7.3(高危),且攻击无需用户交互(UI:N)和权限(PR:N),攻击者可轻易地在受害者服务器上执行任意代码,完全控制受影响设备。