一、 漏洞 CVE-2025-47418 基础信息
漏洞信息
# 录音
## 漏洞概述
该漏洞允许未经授权的用户滥用功能,通过网络API远程启用录音功能,并且系统在录音时没有明显的指示。
## 影响版本
Crestron Automate VX 从版本 5.6.8161.21536 到 6.4.0.49。
## 细节
漏洞涉及敏感信息的非授权暴露。系统在录音时没有明显的指示,并且可以通过网络API远程启用录音功能。
## 影响
该漏洞可能导致敏感信息被未经授权的用户滥用,从而引发隐私泄露或其他安全问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Recording
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Exposure of Sensitive Information to an Unauthorized Actor vulnerability in Crestron Automate VX allows Functionality Misuse.
There is no visible indication when the system is recording and recording can be enabled remotely via a network API.
This issue affects Automate VX: from 5.6.8161.21536 through 6.4.0.49.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Crestron Automate VX 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Crestron Automate VX是美国Crestron公司的一个企业级智能空间自动化平台,集成AV控制、物联网设备管理和数据分析功能。 Crestron Automate VX 5.6.8161.21536版本至6.4.0.49版本存在安全漏洞,该漏洞源于远程网络API可启用无提示记录功能。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-47418 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
![Security [Crestron Electronics, Inc.]](https://cvepdf.imfht.com:2443//ti_screenshot/2025-05-07/screenshot-full-2025-05-07T16-34-04.499Z-7b758b3e738483137e1f.webp)
![SignIn [Crestron Electronics, Inc.]](https://cvepdf.imfht.com:2443//ti_screenshot/2025-05-07/screenshot-full-2025-05-07T16-33-57.127Z-e1ca43a4013873ab4525.webp)