MichaelAdamGroberman/CVE-2026-28766
GitHub: MichaelAdamGroberman/CVE-2026-28766
记录 Gardyn Home Kit 智能园艺设备用户账户端点缺失身份验证的 CVE 漏洞,导致 13 万用户数据在无认证情况下暴露超过 6 年。
Stars: 1 | Forks: 0
# CVE-2026-28766:用户账户端点缺失身份验证
## 分类
- **CVE:** [CVE-2026-28766](https://www.cve.org/CVERecord?id=CVE-2026-28766)
- **Gr0m ID:** Gr0m-006
- **CVSS 3.1:** 9.3 (严重)
- **向量:** CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L
- **CWE:** CWE-306 (关键功能缺失身份验证)
- **状态:** 已屏蔽 (2025 年 12 月 18 日研究人员披露后)
## 概述
根据 CISA 公告,`/api/users` 端点在无需任何身份验证的情况下,暴露了 **134,215 名注册 Gardyn 用户** 的“所有用户账户信息”。仅需一个未经身份验证的 GET 请求即可返回整个用户数据库,包括姓名、电子邮件、电话号码、部分信用卡号码以及管理IoT Hub 凭证。
Gardyn 的 [公开声明](https://mygardyn.com/security/) 声称“这些漏洞未暴露财务或信用卡信息”。这与 API 响应中的 `last_four` 字段相矛盾,该字段为付费订阅者返回了填充的部分卡号。
## 端点
```
GET https://api-gardyn.eastus.cloudapp.azure.com/api/users
Authentication: NONE
```
## 每条用户记录暴露的数据
| 数据字段 | API 字段名称 | 风险等级 |
|------------|----------------|------------|
| 全名 | `name` | 高 |
| 电子邮件地址 | `email` | 高 |
| 电话号码 | `mobile` | 严重 |
| 信用卡末四位 | `last_four` | 高 -- 付费订阅者已填充 |
| 会员类型 | `membership_type` | 中 |
| 用户 ID | `user_id` | 高 -- 连续型,可导致 IDOR |
| 设备 ID | `device_id` | 高 |
| IoT Hub 连接字符串 | `hub_conn_string` | 严重 -- 完全管理员访问权限 |
| 设备连接字符串 | `device_conn_string` | 高 |
每条记录都包含 `iothubowner` 管理凭证 ([CVE-2025-1242](https://github.com/MichaelAdamGroberman/CVE-2025-1242)) —— 单次响应中就有 134,215 份副本。
## 暴露窗口
该端点至少自 **2019 年 5 月** 起可访问 (超过 6 年)。2025 年 12 月 18 日研究人员披露后已屏蔽。
供应商确认受影响端点不存在访问日志,这意味着无法确定在超过 6 年的暴露窗口期间未经授权访问的范围。
Gardyn 的 [公开声明](https://mygardyn.com/security/) 称其“没有证据表明客户数据被访问、获取或滥用”,在缺乏检测此类访问能力的情况下毫无意义。在一个暴露了 134,215 条用户记录超过 6 年的端点上没有访问日志,供应商没有取证依据来断言数据是否被未授权方访问。
## 法律分类
此发现符合 CCPA 及类似州数据保护法律下 **数据泄露** 的法律定义。
## 影响
- 134,215 名用户的完整 PII 在无身份验证情况下暴露
- 每条用户记录均包含管理IoT Hub 凭证
- 连续用户 ID 可导致 IDOR ([CVE-2026-25197](https://github.com/MichaelAdamGroberman/CVE-2026-25197))
- 电话号码 + 电子邮件可导致定向钓鱼、SIM 交换、语音钓鱼
- 部分支付卡数据涉及 PCI-DSS 合规问题
## 修复建议
1. 对所有用户数据端点实施身份验证
2. 实施 RBAC,限制仅能访问已认证用户自己的记录
3. 用 UUID 替换连续 ID
4. 从 API 响应中移除管理凭证
5. 进行数据泄露通知评估
## 完整技术报告
请参阅 [CVE-2026-28766.md](CVE-2026-28766.md) 获取完整的 CISA 标准公告。
**研究员:** Gr0m
标签:API漏洞, Azure, CISA, CVE-2026-28766, CVSS 9.3, CWE-306, Gardyn Home Kit, IDOR, IoT Hub, IoT安全, StruQ, 凭证暴露, 密码管理, 数据爬取, 智能家居, 未授权访问, 漏洞分析, 用户数据泄露, 缺失身份验证, 网络安全, 路径探测, 防御加固, 隐私保护, 隐私泄露