在 ESPHome 的 Web 服务器组件中发现的一个严重安全漏洞已使数千台智能家居设备遭受未经授权的访问,从而有效地使 ESP-IDF 平台实施上的基本身份验证保护失效。
该漏洞被指定为 CVE-2025-57808,CVSS 评分为 8.1,影响 ESPHome 版本 2025.8.0,并允许攻击者在不了解合法凭据的情况下绕过身份验证机制。
该漏洞源于 ESPHome 组件内 HTTP 基本身份验证检查中的基本逻辑错误。web_server_idf
在处理身份验证请求时,系统的函数仅比较最多为客户端提供的授权值长度的字节,而不是验证完整的凭据字符串。AsyncWebServerRequest::authenticate
此实现缺陷会产生两种不同的攻击媒介,完全损害设备安全。
该漏洞最严重的方面涉及空授权标头,攻击者只需发送一个请求,后跟一个空字符串即可获得完全访问权限。Authorization: Basic
GitHub 分析师发现,这种攻击媒介不需要事先了解用户名或密码,这对于网络相邻的攻击者来说尤其危险。
此外,该缺陷接受部分密码匹配,这意味着发现正确密码的子字符串的攻击者也可以成功进行身份验证。
攻击机制和技术利用
该漏洞的技术基础在于处理 base64 编码凭据的字符串比较逻辑不当。
当合法设备配置了凭据(如 (编码为 )时,有缺陷的身份验证检查接受较短的字符串(如 (表示 )作为有效凭据。user:somereallylongpassdXNlcjpzb21lcmVhbGx5bG9uZ3Bhc3M=dXNlcjpzuser:s
实际利用需要最少的技术复杂性。攻击者可以利用简单的 curl 命令来演示漏洞:-
curl -D- -H 'Authorization: Basic ' http://target.local/此命令完全绕过身份验证,返回 HTTP 200 响应,而不是预期的 401 未授权状态。
当启用无线 (OTA) 更新功能时,该漏洞变得特别令人担忧,因为攻击者可以完全控制设备固件和配置设置。
ESPHome 在 2025.8.1 版本中解决了这一严重缺陷,实现了适当的凭证验证,比较完整的授权字符串而不是部分匹配。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
