一、 漏洞 CVE-2025-65397 基础信息
漏洞信息
# N/A
## 概述
Blurams Flare Camera 的安全启动脚本 safe_exec.sh 存在不安全的认证机制,可导致任意命令执行。
## 影响版本
Blurams Flare Camera 24.1114.151.929 及更早版本。
## 细节
当设备文件系统中不存在 `/opt/images/public_key.der` 文件时,攻击者若拥有物理访问权限,可通过在设备 SD 卡中插入恶意构造的 `auth.ini` 文件,触发 unsafe 执行流程,绕过认证机制。
## 影响
攻击者可利用该漏洞以 root 权限执行任意命令,完全控制设备。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An insecure authentication mechanism in the safe_exec.sh startup script of Blurams Flare Camera version 24.1114.151.929 and earlier allows an attacker with physical access to the device to execute arbitrary commands with root privileges, if file /opt/images/public_key.der is not present in the file system. The vulnerability can be triggered by providing a maliciously crafted auth.ini file on the device's SD card.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Blurams Flare Camera 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Blurams Flare Camera是美国Blurams公司的一款摄像头。 Blurams Flare Camera 24.1114.151.929及之前版本存在安全漏洞,该漏洞源于身份验证机制不安全,可能导致执行任意命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-65397 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-65397 的情报信息
标题: Blurams Officlial Smart Home Security Camera | Shop Indoor&Outdoor Cam -- 🔗来源链接
标签:
神龙速读:- **产品信息** - PTZ Dome Camera 2K 热销产品 - **云平台特性** - 全球分布式云架构 - 安全:使用 Oracle Cloud 确保数据安全和用户隐私 - 稳定:本地存储覆盖全球云服务以获得更快的速度 - **智能安全** - 专为每个家庭设计的智能安全解决方案 - BluramsGuard 提供增强的安全保护 - **用户评价** - 多个用户对产品的正面评价,涵盖不同使用场景如户外安全、家庭安全监控等 - **Blurams App** - 下载次数超过100万次 - 43K+用户评价 - 平均评分4.8 - **联系我们** - 提供了关于公司、客户服务、支持和新闻通讯的链接
标题: Snagged -- 🔗来源链接
标签:
神龙速读:从这个网页截图中,能够获取到的关于漏洞的关键信息较为有限,主要有以下几点: - **域名出售信息**:页面显示`Flare.com`域名正在出售,表明该域名目前可能是由专业域名投资或管理公司持有,而非直接由具体公司或服务使用。对于安全研究人员来说,这意味着该域名相关的服务或应用可能不存在,或者刚刚起步。 - **表单安全性**:存在一个联系表单,要求输入姓名、电子邮件、电话或WhatsApp号码以及信息。对于安全专业人员来说,需要注意的是,应检查表单是否具备合适的验证机制和数据加密手段,以防止数据泄露或SQL注入等攻击。如果表单数据直接提交而没有足够的安全措施,可能会成为攻击的切入点。 - **隐私和数据保护**:由于页面要求用户提供个人联系信息,因此对隐私和数据保护的关注是非常必要的。用户应当了解他们的数据如何被收集、使用和保护。如果网站在这方面做得不足,可能会存在隐私泄露的风险。 - **设计和用户体验**:页面设计相对专业,但简洁的布局背后如果没有良好的后端支持,也可能隐藏着某些安全威胁。例如,如果站点在后续构建中使用了有已知漏洞的库或框架,或者网站的服务器配置不当,都可能成为攻击的目标。
标题: CVE-2025-65397: Insecure Startup Script Allows Root Command Execution in Blurams Flare Camera | less on sec -- 🔗来源链接
标签:
神龙速读:### 关键信息 - **漏洞编号**: CVE-2025-65397 - **漏洞名称**: Insecure Startup Script Allows Root Command Execution in Blurams Flare Camera - **影响产品**: Blurams Flare Camera - **影响版本**: 24.1114.151.929 及更早版本 - **漏洞描述**: 在 `safe.exec.sh` 启动脚本中存在一个不安全的身份验证机制,如果 `/opt/images/public_key.der` 文件不存在于文件系统中,允许具有物理访问权限的攻击者以根权限执行任意命令。此漏洞可以通过在设备的 SD 卡上提供恶意制作的 `auth.ini` 文件来触发。 ### 披露时间线 - **23/09/2025**: 首次与厂商联系 - **08/10/2025**: 向厂商提交漏洞报告 - **11/10/2025**: 漏洞得到确认 - **31/10/2025**: 请求 CVE ID - **29/11/2025**: CVE ID 被预留 - **14/01/2026**: 披露
- https://nvd.nist.gov/vuln/detail/CVE-2025-65397
四、漏洞 CVE-2025-65397 的评论
匿名用户
2026-01-15 06:08:34Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.