CVE-2019-25240CVE-2019-25240是Rifatron公司生产的5brid DVR(数字视频录像机)设备中存在的一个严重安全漏洞。该漏洞位于设备的animate.cgi脚本中,属于未认证访问类漏洞。攻击者无需提供任何用户名或密码,即可通过该漏洞访问设备的实时视频流和历史录像快照。漏洞主要影响设备的Mobile Web Viewer模块,该模块设计用于通过移动端浏览器访问监控画面。攻击者只需在HTTP请求中指定相应的通道号(channel number),即可获取指定摄像头的顺序视频快照,实现对监控系统的未授权访问。此漏洞的CVSS评分高达9.8分,属于严重级别,对机密性、完整性和可用性均造成严重影响。攻击者可以利用此漏洞进行大规模监控摄像头入侵,窃取隐私视频内容,甚至可能进一步渗透内网。鉴于该漏洞无需认证即可利用,且可通过互联网远程触发,建议受影响用户立即采取防护措施。
Rifatron 5brid DVR的animate.cgi脚本存在未授权访问漏洞。该CGI脚本是Mobile Web Viewer模块的核心组件,用于处理视频快照请求。漏洞的根本原因在于脚本缺少适当的身份验证检查,允许任何HTTP请求直接访问视频资源而无需登录认证。攻击者构造特定的HTTP GET请求,目标URL格式为:/cgi-bin/animate.cgi?channel=X,其中X为摄像头通道号(通常为0-15之间的整数)。请求发送后,服务器会返回对应通道的实时视频快照或历史录像帧。由于脚本未验证会话Cookie或认证Token,攻击者可以遍历不同的通道号获取所有摄像头的画面。漏洞影响所有使用默认配置的DVR设备,攻击者可通过 Shodan 等搜索引擎发现暴露在互联网上的设备。此漏洞可能被用于间谍活动、隐私侵犯或作为进一步网络攻击的跳板。