Meari SDK漏洞CVE-2026-33357泄露IoT摄像机的广域网IP

执行摘要

Meari 软件开发工具包（SDK）——被 CloudEdge、Arenti 以及众多白标 IoT 摄像头应用程序使用——存在服务器端授权失败的问题，允许任何未经身份验证的攻击者检索与平台链接的任何设备的公共 WAN IP 地址。该漏洞被追踪为 CVE-2026-33357，CVSS 评分为 7.5（高），漏洞存在于 openapi-euce.mearicloud.com 上托管的 GET /openapi/device/status 端点。该漏洞由研究员 xn0tsa 于 2026-05-10 通过 GitHub 咨询披露。截至本文撰写时，Meari 尚未发布官方补丁或变通方法。

技术分析

Meari SDK（包 com.meari.sdk）嵌入在一系列移动应用程序中，这些应用程序提供远程查看和控制 IP 摄像头的功能。受影响的版本包括 CloudEdge 5.5.0 build 220，Arenti 1.8.1 build 220，以及所有基于 SDK 版本 ≤ 1.8.x 的白标应用程序。这些应用程序通过 openapi-euce.mearicloud.com 的 API 网关与 Meari 的云基础设施通信。

根据 xn0tsa 的披露，GET /openapi/device/status 端点缺少任何服务器端授权检查。该端点接受一个设备标识符，并返回设备的当前 WAN IP 地址——无需有效的会话令牌、API 密钥或设备所有权证明。能够枚举或猜测有效设备 ID 的攻击者（研究员指出，SDK 中可预测的 ID 生成模式有助于此过程）可以默默地映射任何摄像头车队的公共 IP 地址。

WAN IP 地址是关键的侦察数据。有了它，攻击者可以确定摄像头的地理位置（通过 IP 地理定位），识别 ISP，并且——如果摄像头或其网络暴露了额外的服务——尝试进一步的利用，例如对默认凭据或摄像头固件中已知漏洞的暴力破解攻击。披露没有表明端点是否还泄露了其他设备元数据，但研究员的报告专门关注 IP 披露向量。

对于白标产品来说，这个漏洞尤其令人担忧，它们通常比品牌 CloudEdge 和 Arenti 应用程序接收到的安全更新速度慢。受影响设备的具体数量未知，但 Meari 的 SDK 在在线市场上以数十个品牌名称销售的低成本 IP 摄像头中广泛使用。

CVE 条目指出，根本原因是缺少授权检查——服务器信任任何到达端点的请求都是合法的。这种模式在 IoT 云后端中很常见，它们被设计为对移动应用客户端有隐式信任，这些客户端本身会验证用户身份，但不在服务器端执行相同的检查。

缓解措施与建议

截至出版时，Meari 尚未发布 SDK 的修补版本或更新受影响的应用程序。防御者和用户应采取以下步骤：

• 监控从摄像头网络到 openapi-euce.mearicloud.com 的出站流量。对 /openapi/device/status 端点的意外或频繁请求可能表明扫描活动。
• 将 IoT 设备分割到具有严格出口过滤的单独 VLAN 上。即使摄像头的 WAN IP 被泄露，网络分割限制了横向移动。
• 在与这些摄像头一起使用的路由器上禁用 UPnP，以减少在 WAN IP 上暴露的攻击面。
• 如果供应商在合理的时间框架内没有发布补丁，更换受影响的设备——IP 枚举风险加上其他摄像头漏洞使得继续使用对注重安全的用户来说是不明智的。
• 定期检查固件更新，因为白标供应商可能会独立修补 SDK，而无需协调的 Meari 公告。