美国CISA披露了Naxclow IoT平台的多个漏洞，影响全球部署的Smart Doorbell X3、X Smart Home、V720和ix cam设备。最严重的漏洞CVE-2026-42947（CVSS 9.8）允许攻击者通过重放注册流程的绑定序列接管设备。其他问题包括硬编码加密密钥（CVE-2026-28742）、缺失授权（CVE-2026-50108、CVE-2026-50244）、可预测的设备标识符（CVE-2026-42932）、永不轮换的中继凭证（CVE-2026-50101）以及通过UART暴露WiFi凭据（CVE-2026-50099）。拥有网络访问权限的攻击者可冒充设备、拦截通信、大规模窃取敏感凭据或获得未授权访问。这些漏洞源于根本的设计缺陷：平台级固定盐值、缺乏设备级密钥、可预测的ID生成机制以及所有权验证缺失。CISA建议最小化网络暴露、使用防火墙和VPN，并遵循ICS防御最佳实践。

关键事实

• CVE-2026-42947（CVSS 9.8）：通过重放注册流程接管设备。
• CVE-2026-28742：硬编码平台级盐值导致签名伪造。
• CVE-2026-50108：缺失授权致设备中继凭证泄露。
• CVE-2026-50099：物理接触UART可获取WiFi凭据。
• 影响Naxclow Smart Doorbell X3、X Smart Home、V720、ix cam所有版本。