MichaelAdamGroberman/CVE-2026-32646

# CVE-2026-32646：管理端设备管理端点缺失身份验证 ## 分类 - **CVE：** [CVE-2026-32646](https://www.cve.org/CVERecord?id=CVE-2026-32646) - **Gr0m ID：** Gr0m-008 - **CVSS 3.1：** 7.5 (高) - **向量：** CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N - **CWE：** CWE-306 (关键功能缺失身份验证) - **状态：** 已确认 ## 概述 `/api/admin/devices` 管理端点无需身份验证即可访问，暴露了整个 Gardyn 设备群（约 138,160 台已注册设备）的设备枚举、元数据检索和设备管理功能。 ## 端点 ``` GET https://gardyn-api-deploy-prod.azurewebsites.net/api/admin/devices Authentication: NONE ``` ## 暴露的功能 - 枚举所有已注册设备 - 设备元数据（序列号、固件版本、在线/离线状态） - 设备与用户的映射关系 - 管理类设备管理操作 ## 影响 - 未经身份验证即可完整枚举设备群 - 设备元数据可助长针对性攻击 - 设备与用户的关联可能导致隐私侵犯 - 为 CVE-2025-1242 和 CVE-2025-29631 的利用提供侦察支持 ## 修复建议 1. 在所有 `/api/admin/*` 端点上强制要求管理员身份验证 2. 实施基于角色的访问控制 3. 将管理端点置于独立的受控访问路径之后 4. 审计访问日志 ## 完整技术说明 请参阅 [CVE-2026-32646.md](CVE-2026-32646.md) 获取符合 CISA 标准的完整公告。 **研究员：** Gr0m

标签：API 漏洞, Azure Webistes, CVE-2026-32646, CVSS 7.5, CWE-306, Gardyn Home Kit, ICSA-26-055-03, IoT 安全, REST API, 信息泄露, 固件版本泄露, 实时处理, 密码管理, 智能种植设备, 未授权访问, 物联网, 管理端点暴露, 缺失认证, 设备枚举, 访问控制缺失, 身份验证绕过, 隐私侵犯, 高危漏洞