支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-65396 基础信息
漏洞信息
                                        # N/A

## 概述
Blurams Flare Camera 在版本 24.1114.151.929 及更早版本中存在一个启动过程漏洞,允许物理邻近攻击者通过 UART 接口获取引导加载程序 shell。

## 影响版本
版本 24.1114.151.929 及更早版本。

## 细节
攻击者可通过将 SPI 闪存芯片的数据引脚接地制造读取错误,干扰设备正常启动流程,从而劫持启动机制。该操作触发后,可通过 UART 接口获得 bootloader shell。

## 影响
攻击者可利用此漏洞转储完整固件,导致敏感信息泄露,包括加密密钥和用户配置数据。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the boot process of Blurams Flare Camera version 24.1114.151.929 and earlier allows a physically proximate attacker to hijack the boot mechanism and gain a bootloader shell via the UART interface. This is achieved by inducing a read error from the SPI flash memory during the boot, by shorting a data pin of the IC to ground. An attacker can then dump the entire firmware, leading to the disclosure of sensitive information including cryptographic keys and user configurations.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Blurams Flare Camera 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Blurams Flare Camera是美国Blurams公司的一款摄像头。 Blurams Flare Camera 24.1114.151.929及之前版本存在安全漏洞,该漏洞源于引导过程存在缺陷,可能导致敏感信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-65396 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-65396 的情报信息

  • 标题: Blurams Officlial Smart Home Security Camera | Shop Indoor&Outdoor Cam -- 🔗来源链接

    标签:

    神龙速读:
                                            - **产品信息**
  - PTZ Dome Camera 2K 热销产品

- **云平台特性**
  - 全球分布式云架构
    - 安全:使用 Oracle Cloud 确保数据安全和用户隐私
    - 稳定:本地存储覆盖全球云服务以获得更快的速度

- **智能安全**
  - 专为每个家庭设计的智能安全解决方案
  - BluramsGuard 提供增强的安全保护

- **用户评价**
  - 多个用户对产品的正面评价,涵盖不同使用场景如户外安全、家庭安全监控等

- **Blurams App**
  - 下载次数超过100万次
  - 43K+用户评价
  - 平均评分4.8

- **联系我们**
  - 提供了关于公司、客户服务、支持和新闻通讯的链接
    Blurams Officlial Smart Home Security Camera | Shop Indoor&Outdoor Cam

  • 标题: Snagged -- 🔗来源链接

    标签:

    神龙速读:
                                            从这个网页截图中,能够获取到的关于漏洞的关键信息较为有限,主要有以下几点:

- **域名出售信息**:页面显示`Flare.com`域名正在出售,表明该域名目前可能是由专业域名投资或管理公司持有,而非直接由具体公司或服务使用。对于安全研究人员来说,这意味着该域名相关的服务或应用可能不存在,或者刚刚起步。
- **表单安全性**:存在一个联系表单,要求输入姓名、电子邮件、电话或WhatsApp号码以及信息。对于安全专业人员来说,需要注意的是,应检查表单是否具备合适的验证机制和数据加密手段,以防止数据泄露或SQL注入等攻击。如果表单数据直接提交而没有足够的安全措施,可能会成为攻击的切入点。
- **隐私和数据保护**:由于页面要求用户提供个人联系信息,因此对隐私和数据保护的关注是非常必要的。用户应当了解他们的数据如何被收集、使用和保护。如果网站在这方面做得不足,可能会存在隐私泄露的风险。
- **设计和用户体验**:页面设计相对专业,但简洁的布局背后如果没有良好的后端支持,也可能隐藏着某些安全威胁。例如,如果站点在后续构建中使用了有已知漏洞的库或框架,或者网站的服务器配置不当,都可能成为攻击的目标。
    Snagged

  • 标题: CVE-2025-65396: SPI Fault Enables Bootloader Access and Firmware Dump in Blurams Flare Camera | less on sec -- 🔗来源链接

    标签:

    神龙速读:
                                            - **CVE Identifier**: CVE-2025-65396
- **Affected Hardware**: Blurams Flare Camera
- **Affected Firmware Version**: 24.1114.151.929 and earlier
- **Vulnerability Description**:  
  During the boot process, a physically proximate attacker can hijack the boot mechanism by inducing a read error from the SPI flash memory via shorting a data pin to ground. This provides access to the bootloader shell through the UART interface, enabling the dumping of the entire firmware.
  
- **Information at Risk**: Cryptographic keys and user configurations.
- **Disclosure Timeline**:
  - 23/09/2025: Initial contact with vendor.
  - 08/10/2025: Vulnerability report submitted to vendor.
  - 11/10/2025: Vulnerability confirmed by vendor.
  - 31/10/2025: Request for CVE ID.
  - 29/11/2025: CVE ID reserved.
  - 14/01/2026: Public disclosure.
    CVE-2025-65396: SPI Fault Enables Bootloader Access and Firmware Dump in Blurams Flare Camera | less on sec
  • https://nvd.nist.gov/vuln/detail/CVE-2025-65396
四、漏洞 CVE-2025-65396 的评论
匿名用户
2026-01-15 06:08:34

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论