CVE-2026-5574: Technostrobe HI-LED-WR120-G2 未认证任意文件删除漏洞

CVE-2026-5574：Technostrobe 未认证文件删除漏洞 漏洞概述 Technostrobe 的 HI-LED-WR120-G2 设备用于管理高大结构物（塔、涡轮机、起重机）的障碍照明。其嵌入式 HTTP Web 服务器的文件管理接口包含一个 AJAX 处理程序，可在无需身份验证的情况下删除设备文件系统中的任意文件。 --- 影响范围 受影响设备 设备：Technostrobe HI-LED-WR120-G2 控制器：MCG-2 (Master Controller Hub) 固件版本：5.5.0.186.03.30 构建日期：Jan 30 2018 攻击后果 删除登录凭证存储 ( ) → 锁定所有合法用户 删除 MQTT 配置 ( ) → 网络运营中心失去设备可见性 删除 Web 管理界面 → 工程师无法访问设备 删除网络配置 ( ) → 设备可能无法访问 删除固件更新文件 → 下次启动时可能变砖 删除日志/审计文件 → 销毁入侵证据 --- POC 代码 基础文件删除请求 删除登录凭证（锁定所有用户） 删除 MQTT 配置 删除整个 Web 界面 --- 漏洞根因 请求参数（全部攻击者可控） 伪代码分析 缺失的安全控制 ❌ 身份验证 (Authentication) ❌ 授权 (Authorization) ❌ 路径规范化 (Path canonicalization) ❌ 可删除目录白名单 (Allowlist of deletable directories) ❌ 审计日志 (Audit logging) --- 攻击场景 场景A：证据销毁 1. 攻击者通过其他漏洞入侵设备 2. 攻击者执行的操作被记录 3. 攻击者通过此端点删除所有日志文件 4. 取证调查人员：无日志，无痕迹 5. 攻击者活动无法归因 场景B：拒绝服务（可用性攻击） 1. 攻击者删除 2. 设备无法再认证任何用户 3. NOC 工程师被锁定在设备外 4. 灯光任何故障状况无法远程修复 5. 需要物理现场访问（塔可能偏远/无法进入） 6. 航空安全灯停机数小时至数天 场景C：文件上传后掩盖痕迹（配合 Bug 0x05） 1. 攻击者上传恶意脚本（Bug 0x05） 2. 脚本执行，攻击者获得 RCE 3. 攻击者通过此端点删除上传的文件 4. Web 根目录无上传痕迹 5. 调查发现设备被入侵但无明显入侵痕迹 --- 组合杀伤链（Bug 2 + 4 + 5 联动） --- 运营技术(OT)影响背景 航空照明合规要求： FAA 70/7460-1K — 定义闪烁频率、颜色、强度 ICAO Annex 14 — 国际障碍照明标准 Transport Canada — 加拿大等效法规 障碍灯被禁用或异常行为的后果： 飞行员夜间/雾天失去塔 proximity 视觉参考 飞机撞塔风险 (CFIT) 塔运营方面临监管处罚 塔可能失去运营许可证 --- 修复方案 页面截图中未显示具体的官方修复方案，但基于漏洞特征，建议： 1. 身份验证：对文件管理接口实施强身份验证 2. 授权检查：验证用户是否有权限删除目标文件 3. 路径规范化：对 参数进行严格的规范化处理 4. 目录限制：限制可删除文件的白名单目录 5. 审计日志：记录所有文件删除操作 6. 输入验证：验证 和 参数，防止目录遍历

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-5574: Technostrobe HI-LED-WR120-G2 未认证任意文件删除漏洞

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-5574: Technostrobe HI-LED-WR120-G2 未认证任意文件删除漏洞

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！