发布日期：2025-11-24
更新日期：2026-01-06

受影响系统：

Tuya Tuya Smart Android 6.3.1
Tuya Tuya Smart iOS 6.3.1
Tuya Tuya Smartlife Android 6.3.4
Tuya Tuya Smartlife iOS 6.3.1
Tuya Tuya SDK Android ＜ 6.5.0
Tuya Tuya SDK iOS ＜ 6.5.0

描述：

---

CVE(CAN) ID: CVE-2025-56400

Tuya Android SDK等都是中国涂鸦（Tuya）公司的产品，Tuya Android SDK是一个软件开发工具包，Tuya iOS SDK是一个软件开发工具包，Tuya Smart App是一个智能APP。
Tuya SDK Android 6.5.0之前版本、Tuya SDK iOS 6.5.0之前版本、Tuya Smartlife Android 6.3.4版本、Tuya Smartlife iOS 6.3.1版本、Tuya Smart Android 6.3.1版本及Tuya Smart iOS 6.3.1版本存在跨站请求伪造漏洞，该漏洞源于应用在账户关联流程中未能验证OAuth状态参数，攻击者可利用该漏洞通过诱骗受害者点击特制授权链接，导致Alexa对受害者的涂鸦联网设备进行未授权访问，远程控制摄像头、门铃等设备。

<*链接：https://src.tuya.com/announcement/30
*>

建议：

---

厂商补丁：

Tuya
----
厂商尚未提供漏洞修复方案，请关注厂商主页更新：

https://www.tuya.com/cn/

浏览次数：78
严重程度：0（网友投票）