在 ESPHome 的 Web 服务器组件中发现的一个严重安全漏洞已使数千台智能家居设备遭受未经授权的访问，从而有效地使 ESP-IDF 平台实施上的基本身份验证保护失效。

该漏洞被指定为 CVE-2025-57808，CVSS 评分为 8.1，影响 ESPHome 版本 2025.8.0，并允许攻击者在不了解合法凭据的情况下绕过身份验证机制。

该漏洞源于 ESPHome 组件内 HTTP 基本身份验证检查中的基本逻辑错误。web_server_idf

在处理身份验证请求时，系统的函数仅比较最多为客户端提供的授权值长度的字节，而不是验证完整的凭据字符串。AsyncWebServerRequest::authenticate

此实现缺陷会产生两种不同的攻击媒介，完全损害设备安全。

该漏洞最严重的方面涉及空授权标头，攻击者只需发送一个请求，后跟一个空字符串即可获得完全访问权限。Authorization: Basic

GitHub 分析师发现，这种攻击媒介不需要事先了解用户名或密码，这对于网络相邻的攻击者来说尤其危险。

此外，该缺陷接受部分密码匹配，这意味着发现正确密码的子字符串的攻击者也可以成功进行身份验证。

攻击机制和技术利用

该漏洞的技术基础在于处理 base64 编码凭据的字符串比较逻辑不当。

当合法设备配置了凭据（如 （编码为 ）时，有缺陷的身份验证检查接受较短的字符串（如 （表示 ）作为有效凭据。user:somereallylongpassdXNlcjpzb21lcmVhbGx5bG9uZ3Bhc3M=dXNlcjpzuser:s

实际利用需要最少的技术复杂性。攻击者可以利用简单的 curl 命令来演示漏洞：-

curl -D- -H 'Authorization: Basic ' http://target.local/

此命令完全绕过身份验证，返回 HTTP 200 响应，而不是预期的 401 未授权状态。

当启用无线 （OTA） 更新功能时，该漏洞变得特别令人担忧，因为攻击者可以完全控制设备固件和配置设置。

ESPHome 在 2025.8.1 版本中解决了这一严重缺陷，实现了适当的凭证验证，比较完整的授权字符串而不是部分匹配。