关键漏洞信息 Finding 1 - CVE-2025-30106: Default credentials for SSID [CWE-193] 描述: IROAD Q Series设备使用固定的SSID和默认凭据,这些凭据无法更改。 影响: 攻击者可以连接到设备的网络并进行未经授权的操作。 Finding 2 - CVE-2025-30109: Hardcoded credentials in APK (IROAD <= v5.2.5) to ports 9091 and 9092 描述: APK中包含硬编码的凭据,允许访问端口9091和9092。 影响: 攻击者可以通过这些凭据访问设备的内部服务。 Finding 3 - CVE-2025-30110: Bypassing of Device Pairing [CWE-798] for IROAD Q Series 描述: 设备配对机制存在绕过漏洞,攻击者可以通过扫描MAC地址并连接到设备,而无需通过配对过程。 影响: 攻击者可以绕过配对机制,直接访问设备。 Finding 4 - CVE-2025-30111: Remotely Dump Video Footage and Live Video Stream 描述: 攻击者可以通过特定的API端点远程转储视频片段和实时视频流。 影响: 敏感数据可能被未经授权的人员访问。 Finding 5 - CVE-2025-30107: Managing Settings to Obtain Sensitive Data and Sabotaging Car Battery 描述: 攻击者可以通过修改内部设置来获取敏感数据或破坏汽车电池。 影响: 可能导致数据泄露和物理损坏。 Finding 6 - CVE-2025-30132: Public Domain Used for Internal Domain Name 描述: 设备使用公共域名作为内部域名,可能导致DNS劫持和中间人攻击。 影响: 攻击者可以利用这一点进行数据窃取和篡改。 Finding 8 - CVE-2025-7070: MFA Spam to Induce Device-Pairing Fatigue 描述: 攻击者可以通过频繁发送MFA请求来诱导设备配对疲劳,从而绕过配对限制。 影响: 攻击者可以未经授权地访问设备。 披露时间线 2023年1月:披露给IROAD 2023年3月:发送电子邮件给NVD 2023年5月:首次跟进邮件 2023年6月:公开披露CVE编号 ``` 这些信息总结了从截图中提取的关键漏洞及其潜在影响。