MichaelAdamGroberman/CVE-2026-32662

# CVE-2026-32662：生产环境中的活动调试代码 ## 分类 - **CVE:** [CVE-2026-32662](https://www.cve.org/CVERecord?id=CVE-2026-32662) - **Gr0m ID:** Gr0m-019 - **CVSS 3.1:** 5.3 (中危) - **向量:** CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N - **CWE:** CWE-489 (活动调试代码) - **状态:** 部分修复 (403 Forbidden，但基础设施仍部署中) ## 摘要 生产环境中存在的开发和测试 API 端点镜像了生产功能。在修复之前，开发 API 在未经身份验证的情况下返回生产凭证，包括 `iothubowner` 密钥 ([CVE-2025-1242](https://github.com/MichaelAdamGroberman/CVE-2025-1242))。生产移动应用程序和管理面板构建版本中也仍嵌有开发凭证。 ## 开发端点 | 端点 | 状态 | |----------|--------| | `gardyn-api-deploy-dev.azurewebsites.net` | 403 Forbidden (已阻止) | | `api-gardyn-dev.eastus.cloudapp.azure.com` | 未知 | ## 生产 API 攻击面 (在构建版本中披露) | 端点 | 用途 | |----------|---------| | `gardyn-api-deploy-prod.azurewebsites.net` | 主生产 API | | `api-gardyn.eastus.cloudapp.azure.com` | 旧版 API | | `gardyn-prod-fa-orders.azurewebsites.net` | 订单处理 | | `gardyn-prod-kelby-service-layer.azurewebsites.net` | AI 助手服务层 | | `gardyn-production-api-data.azurewebsites.net` | GraphQL 数据 API | ## 影响 - 通过开发端点的历史凭证泄露 - 生产构建版本中的开发凭证有助于侦察 - 包含生产凭证的并行环境创建了替代攻击路径 - 如果放宽访问控制，未来有重新暴露的风险 ## 修复建议 1. 停用公共可路由的开发端点 2. 对非生产环境进行网络隔离 3. 切勿在开发环境中使用生产凭证 4. 从生产构建版本中剥离开发工件 ## 完整技术报告 请参阅 [CVE-2026-32662.md](CVE-2026-32662.md) 以获取符合 CISA 标准的完整公告。 **研究员:** Gr0m

标签：API安全, App安全, Azure云安全, CVE-2026-32662, CWE-489, Gardyn Home Kit, ICSA-26-055-03, iothubowner, IoT漏洞, JSON输出, reconnaissance, 实时处理, 开发端点暴露, 智能家居, 物联网安全, 生产环境调试代码, 硬编码凭证, 访问控制缺陷, 证书泄露, 足迹分析