CVE-2025-64730CVE-2025-64730是索尼网络摄像机SNC-CX600W中存在的一个跨站脚本(XSS)漏洞,CVSS评分为6.1,属于中等严重程度。该漏洞由JPCERT/CC的安全研究人员vultures发现并报告,披露日期为2025年11月25日。漏洞影响SNC-CX600W的所有版本,攻击者无需认证即可利用此漏洞,但需要诱导用户访问恶意链接或页面。由于该摄像机是网络监控设备,通常部署在企业或公共场所,因此漏洞的潜在影响范围较广。攻击者可以通过在Web界面中注入恶意JavaScript代码,窃取用户的会话Cookie、劫持用户账户或进行钓鱼攻击。鉴于该设备常用于敏感场所,如办公室、仓库或公共区域,攻击者可能利用此漏洞进行更高级的侦察活动或横向移动。索尼公司已确认此漏洞的存在,但截至目前尚未发布官方修复补丁,用户需要采取临时防护措施。
该漏洞是典型的存储型或反射型跨站脚本(XSS)漏洞,位于SNC-CX600W网络摄像机的Web管理界面中。漏洞根源在于应用程序对用户输入未进行充分的过滤和转义处理。攻击者可以通过构造特制的URL或HTTP请求,在URL参数或表单字段中注入恶意JavaScript代码。当其他用户访问包含恶意代码的页面时,浏览器会将其解析为可执行脚本,从而在用户上下文中执行任意操作。CVSS向量AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N表明攻击复杂度低且无需认证,这大大增加了漏洞的可利用性。攻击者可能利用此漏洞获取摄像机的管理权限、窃取视频流配置信息或进行中间人攻击。由于SNC-CX600W支持远程访问功能,攻击者甚至可以通过互联网发起攻击。