CVE-2019-25236 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未授权访问漏洞。脚本 `get_jpeg` 缺乏访问控制。后果：攻击者可直接获取**实时视频流**，隐私彻底泄露。

🔍 **根本原因**：**CWE-306**（缺少身份验证）。缺陷点在于 `get_jpeg` 接口未验证用户权限，直接暴露数据。

🛡️ **影响对象**：韩国 **iSeeQ** 公司。具体产品：**Hybrid DVR WH-H4**。受影响版本：**1.03R**。

💡 **黑客能力**：无需认证即可访问。可窃取**实时视频监控画面**（高机密性）。同时具备高完整性/可用性破坏风险（CVSS全高）。

📉 **利用门槛**：**极低**。CVSS评分显示：攻击向量网络、攻击复杂度低、**无需权限**、无需用户交互。

💣 **现成Exp**：**有**。ExploitDB编号 **47562**。Zero Science Lab 已披露 (ZSL-2019-5539)。

🔎 **自查方法**：扫描设备是否运行 iSeeQ DVR。尝试直接访问 `get_jpeg` 接口。若返回视频流或无报错，即存在风险。

🛠️ **官方修复**：数据中**未提及**官方补丁链接。建议联系厂商 iSeeQ 官网或查阅 ZSL 披露详情。

🚧 **临时规避**：若无法升级，建议**关闭公网访问**。限制 DVR 仅在内网访问。修改默认端口。

⚡ **优先级**：**紧急**。CVSS 3.1 满分风险。无需认证即可看监控，隐私泄露风险极大，需立即处置。