视频监控平台EasyCVR敏感信息泄露

admin 2024年2月17日13:08:43评论38 views字数 583阅读1分56秒阅读模式

声明:

请勿使用本文档提供的相关工具开展任何违法犯罪活动本技术类文档与工具仅支持学习安全技术使用,他用造成严重后果,请自行负责!!!

一、漏洞名称

视频监控平台EasyCVR敏感信息泄露

二、产品介绍

安防视频监控平台EasyCVR是一个具有强大拓展性、灵活的视频能力和轻便部署的平台。它支持多种主流标准协议,包括国标GB28181、RTSP/ONVIFRTMP等,还可以支持厂家的私有协议和SDK接入,例如海康EHOME、海大宇等设备的SDK。该平台不仅拥有传统安防视频监控的功能,还具备接入AI智能分析的能力。它可以灵活地进行视频能力扩展,并支持多种视频流的外部分发,如RTMP、RTSP、HTTP-FLV、WebSocket-FLV、HLS、WebRTC等。

三、影响版本

EasyCVR v3.1.0

四、FOFA搜索语法

icon_hash="458134656"

五、漏洞验证截图

登录界面如图所示:

视频监控平台EasyCVR敏感信息泄露

访问漏洞地址,即可获取到后台用户账户信息。如下图所示:

视频监控平台EasyCVR敏感信息泄露

视频监控平台EasyCVR敏感信息泄露

视频监控平台EasyCVR敏感信息泄露

视频监控平台EasyCVR敏感信息泄露

视频监控平台EasyCVR敏感信息泄露

视频监控平台EasyCVR敏感信息泄露

视频监控平台EasyCVR敏感信息泄露

五、漏洞危害:攻击者在不登陆后台情况下,可未授权访问系统后台用户账户信息,涉及账户名称和密码MD5加密值,解密后,即可登录后台。

六、修复方法:对相关API接口增加鉴权访问控制。

漏洞POC在下方知识星球内,扫描二维码,即可查看POC内容

视频监控平台EasyCVR敏感信息泄露

原文始发于微信公众号(NightmareV):视频监控平台EasyCVR敏感信息泄露

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月17日13:08:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   视频监控平台EasyCVR敏感信息泄露https://cn-sec.com/archives/2237920.html

发表评论

匿名网友 填写信息