Podatność umożliwia nieuwierzytelnionemu atakującemu zdalny dostęp do wrażliwych danych urządzenia oraz transmisji wideo na żywo w kamerach IP Xiongmai XM530. Wynika z braku egzekwowania uwierzytelnienia w implementacji protokołu ONVIF dla 31 krytycznych endpoint'ów.
▸ Pokaż oryginał (EN)
Authentication bypass vulnerability in Xiongmai XM530 IP cameras on Firmware V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06 allows unauthenticated remote attackers to access sensitive device information and live video streams. The ONVIF implementation fails to enforce authentication on 31 critical endpoints, enabling direct unauthorized video stream access.
Implementacja protokołu ONVIF w oprogramowaniu sprzętowym kamery nie wymusza uwierzytelnienia na 31 krytycznych endpoint'ach. Atakujący może bezpośrednio wysyłać żądania do tych endpoint'ów bez podania jakichkolwiek danych uwierzytelniających. W efekcie możliwy jest nieautoryzowany dostęp do strumieni wideo oraz informacji o urządzeniu przez sieć, bez jakiejkolwiek interakcji ze strony użytkownika.
Atakujący może uzyskać nieautoryzowany dostęp do transmisji wideo na żywo oraz wrażliwych informacji o urządzeniu, co prowadzi do naruszenia poufności monitorowanych obszarów i potencjalnego ujawnienia danych konfiguracyjnych kamery.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia aktualizacji zaleca się izolację kamer od sieci publicznej, zastosowanie firewall blokującego dostęp do portów ONVIF z niezaufanych sieci oraz umieszczenie urządzeń w dedykowanym segmencie sieci VLAN z ograniczonym dostępem.
Kamery IP Xiongmai XM530 (Xiongmaitech Xm530V200 X6-Weq 8M) z oprogramowaniem sprzętowym w wersji V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06
Szczegółowy opis techniczny podatności dostępny jest pod adresem: https://luismirandaacebedo.github.io/CVE-2025-65856/
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HXiongmaitech Xm530v200 X6 Weq 8m
HWXiongmaitechwszystkie wersjeXiongmaitech Xm530v200 X6 Weq 8m Firmware
OSXiongmaitech5.00.r02.000807d8.10010.346624.s.onvif_21.06
Powiązane podatności
An issue was discovered in Xiongmai XM530 IP cameras on firmware V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06...
Multiple Xiongmai NVR devices, including MBD6304T V4.02.R11.00000117.10001.131900.00000 and NBD6808T-PL V4.02....
Xiaongmai AHB7008T-MH-V2, AHB7804R-ELS, AHB7804R-MH-V2, AHB7808R-MS-V2, AHB7808R-MS, AHB7808T-MS-V2, AHB7804R-...
Xiongmai Technology Co devices AHB7008T-MH-V2, AHB7804R-ELS, AHB7804R-MH-V2, AHB7808R-MS-V2, AHB7808R-MS, AHB7...
All versions of Hangzhou Xiongmai Technology Co., Ltd XMeye P2P Cloud Server do not encrypt all device communi...