一、 漏洞 CVE-2025-31702 基础信息
漏洞信息
                                        # N/A

## 概述

大华(Dahua)部分嵌入式产品中存在一个安全漏洞。攻击者若获取了普通用户权限,可通过构造特定的 HTTP 请求访问本应受限的管理员数据(如系统敏感文件),从而可能导致管理员密码被篡改,实现权限提升。

## 影响版本

描述中未给出具体受影响版本,建议厂商官方通告以获取版本详情。

## 漏洞细节

攻击者需先获取合法的普通用户凭据,然后通过特定 HTTP 请求访问仅限管理员访问的数据。此操作可绕过正常的权限限制,进行敏感操作。

## 潜在影响

该漏洞可能导致管理员密码被恶意篡改,攻击者借此获得更高权限,实现权限提升。如系统仅配置了管理员账户且无普通用户账户,则不受此漏洞影响。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability exists in certain Dahua embedded products. Third-party malicious attacker with obtained normal user credentials could exploit the vulnerability to access certain data which are restricted to admin privileges, such as system-sensitive files through specific HTTP request. This may cause tampering with admin password, leading to privilege escalation. Systems with only admin account are not affected.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
关键资源的不正确权限授予
来源:美国国家漏洞数据库 NVD
漏洞标题
Dahua IPC和Dahua SD 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Dahua IPC和Dahua SD都是中国大华(Dahua)公司的产品。Dahua IPC是大华的一系列工控机。Dahua SD是一系列云台球型摄像机。 Dahua IPC和Dahua SD存在安全漏洞,该漏洞源于第三方恶意攻击者可通过特定HTTP请求访问系统敏感文件等管理员权限数据,可能导致管理员密码篡改和权限提升。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-31702 的公开POC
# POC 描述 源链接 神龙链接
1 Repository with tools, exploits, and material associated with the analysis and discovery process of CVE-2025-31702 and other related security issues. https://github.com/purpleghosts/CVE-2025-31702 POC详情
三、漏洞 CVE-2025-31702 的情报信息
四、漏洞 CVE-2025-31702 的评论

暂无评论

发表评论