MichaelAdamGroberman/CVE-2026-28767

# CVE-2026-28767：Admin Notifications Endpoint 缺少身份验证 ## 分类 - **CVE:** [CVE-2026-28767](https://www.cve.org/CVERecord?id=CVE-2026-28767) - **Gr0m ID:** Gr0m-009 - **CVSS 3.1:** 5.3 (Medium) - **Vector:** CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N - **CWE:** CWE-306 (Missing Authentication for Critical Function) - **Status:** CONFIRMED ## 概要 `/api/admin/notifications` 管理端点无需身份验证即可访问，暴露了内部通知系统数据和管理通信内容。 ## 端点 ``` GET https://gardyn-api-deploy-prod.azurewebsites.net/api/admin/notifications Authentication: NONE ``` ## 系统性模式 这是 Gardyn `/api/admin/*` 路径上更广泛的缺少身份验证模式的一部分。该端点和 `/api/admin/devices` ([CVE-2026-32646](https://github.com/MichaelAdamGroberman/CVE-2026-32646)) 均缺少身份验证，表明整个 admin API 命名空间在部署时未设置访问控制。 ## 影响 - 内部管理通信的信息泄露 - 可查看操作流程和系统事件 - 通知模板和目标定位数据暴露 - 具有识别系统行为的侦察价值 ## 修复建议 1. 在所有 `/api/admin/*` 端点上要求管理员身份验证 2. 实施基于角色的访问控制 3. 审计 `/api/admin/` 下的所有端点是否存在缺少身份验证的情况 ## 完整技术报告 请参阅 [CVE-2026-28767.md](CVE-2026-28767.md) 获取符合 CISA 标准的完整公告。 **研究员:** Gr0m

标签：API 安全, API 漏洞, CVE-2026-28767, CWE-306, Gardyn Home Kit, GitHub, ICSA-26-055-03, 信息泄露, 密码管理, 敏感数据暴露, 智能种植设备, 未授权访问, 物联网安全, 管理员接口未授权访问, 缺失认证, 网络渗透, 身份验证绕过