物联网平台门禁部分全局密码泄露漏洞和奇怪字段问题

[复制链接]
本帖最后由 sslgz 于 2022-8-26 00:57 编辑

在信锐的物联网平台的门禁系统内,全局设置里面,可以设置启用全局密码,该密码开启后自动应用到所有lora和zigbee门锁上
也就是说一个密码通开所有门锁
如下图:
1.jpg

但是发现,这个如此高级别的全局密码,居然在任何一个普通门禁用户的门锁配置里面显示
如下图:
2.jpg

也就是说,增加任何一个普通用户,只要给该用户授权任何一个门锁,无论是只读还是完全控制权限,该用户登录物联网平台后,在门锁的配置页面就有一个“全局账号密码”选项,该选项直接把管理员设置的全局密码显示出来。

这里有三个问题:
1、管理员的“全局密码”轻易泄露给普通用户,普通用户通过这个“全局账号密码”即可通开所有门禁,极其危险
2、用户配置门锁的页面,有三个选项,分别是“全局密码”、“全局账号密码使能”和“全局账号密码”,这三组字段存在疑问,因为泄露管理员“全局密码”的并不是该配置页面的“全局密码”,而是该配置页面的“全局账号密码”。字段显示的不一致可能会导致权限错配等安全问题,需要信锐检查和修正
3、这三个字段的功能究竟实际作用是什么?对其进行修改后,会否传递到管理员的全局设置,把管理员的全局密码同步修改?(我初步测试过,能够修改这个“全局账号密码”,但是修改后不能更新管理员的全局密码)修改了这个“全局账号密码”后,该锁的全局密码是否变了,用管理员的全局密码还能不能开这把锁这个没测试过。不过管理员把“全局密码”更新后,这个锁的配置里面的“全局账号密码”倒会自动同步成新的密码。
构建全联接的未来
回复

使用道具 举报

已有(4)人评论

跳转到指定楼层
anmit 发表于 2023-2-19 11:37:26

感谢反馈!
回复
回复

使用道具 举报

HAHA 发表于 2023-2-19 11:37:10

感谢反馈!
回复
回复

使用道具 举报

talent 发表于 2023-2-19 11:36:53
感谢反馈!
回复
回复

使用道具 举报

社区助手_088 发表于 2022-9-5 20:22:17
您好!感谢反馈,该问题已经在处理中。
回复
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|信锐技术社区
© 2016-2022 深圳市信锐网科技术有限公司 版权所有  Powered by Discuz! X3.4  粤ICP备 14013597号
400-878-3389
售后服务热线  7*24小时