Meari OpenAPI 设备状态 IDOR 漏洞 (CVE-2026-33357) 漏洞概述 该漏洞存在于 Meari 客户端应用程序(包括 CloudEdge 5.5.0 build 220、Arenti 1.8.1 build 220 及相关白标版本)中集成的 库。攻击者可以通过构造恶意调用路径,利用 MeariCloud 的 OpenAPI 接口,无需身份验证即可检索任意设备的 WAN IP 数据。根本原因是 接口存在服务端授权失败。 影响范围 受影响产品: Meari IoT SDK ( ) 受影响版本: CloudEdge 5.5.0 build 220, Arenti 1.8.1 build 220 及相关白标版本 危害: 攻击者可以大规模映射已部署摄像头的网络位置,支持跟踪、侦察和目标画像。特别适用于选择高价值或易受攻击的家庭。 关联漏洞: 当与 CVE-2026-33356 结合使用时,攻击者可先从全球 MQTT 流量中发现有效的设备标识符,然后通过 OpenAPI 查询丰富这些记录的网络地理定位数据。 修复方案 厂商: Meari 状态: 截至 2026-05-11 公开披露,页面未提供具体的补丁版本或临时缓解措施。建议联系厂商获取最新安全更新。 时间线 2026-03-11: 研究人员识别问题,审查并披露给厂商。 2026-04-03: 为 CISA 跟踪打开 VINCE Case VU#57966。 2026-04-05: 研究人员与厂商之间的电子邮件沟通。 2026-04-28: 研究人员和 runZero 完善发现。 2026-05-06: 确认发现并与 The Verge 披露流程。 2026-05-11: CVE-2026-33357 公开披露。 作者信息 发现者: Tod Beardsley (runZero VP of Security Research) 协调: runZero, Inc.