关键漏洞信息 IROAD X Series 1. CVE-2025-2341: 默认凭据 - 问题:默认SSID和凭据未更改,允许未经授权的访问。 - 影响:潜在的安全风险。 2. CVE-2025-2342: 硬编码凭据 - 问题:APK中硬编码的凭据,暴露在9091和9092端口。 - 影响:远程攻击者可利用这些凭据进行未授权访问。 3. CVE-2025-2343: 绕过设备配对 - 问题:MAC地址验证机制存在缺陷,允许绕过配对过程。 - 影响:未授权设备可连接并访问数据。 4. CVE-2025-2344: 远程转储视频和实时视频流 - 问题:通过9091和9092端口的API接口,可远程访问录制和实时视频流。 - 影响:隐私泄露和数据暴露。 5. CVE-2025-2345: 修改设置以获取敏感数据和破坏汽车电池 - 问题:通过Wi-Fi配置文件修改系统设置,导致数据泄露和电池损坏。 - 影响:数据安全和物理损害。 6. CVE-2025-2346: 内部域名使用公共域名 - 问题:内部域名解析为公共域名,增加DNS劫持风险。 - 影响:潜在的中间人攻击和数据泄露。 IROAD FX2 7. CVE-2025-2347: 绕过设备注册 - 问题:设备注册过程中存在漏洞,允许未授权设备注册。 - 影响:未授权设备可访问系统。 8. CVE-2025-2348: 无认证下通过HTTP和RTSP转储文件 - 问题:无需认证即可通过特定端口访问和下载文件。 - 影响:数据泄露和隐私风险。 9. CVE-2025-2349: 暴露的根密码 - 问题:配置文件中包含明文根密码。 - 影响:系统被完全控制的风险。 10. CVE-2025-2350: 未认证上传 - 问题:允许未认证用户上传文件。 - 影响:恶意软件注入和数据篡改。 11. CVE-2025-30131: 无限制的WebShell - 问题:存在可执行任意命令的WebShell。 - 影响:系统被完全控制和数据泄露。 12. CVE-2025-30133: 未保护的URL快捷方式 - 问题:未受保护的URL快捷方式允许重定向到恶意网站。 - 影响:钓鱼攻击和恶意软件传播。 13. CVE-2025-30135: 锁定设备所有者(DoS) - 问题:通过更改SSD密码锁定设备所有者。 - 影响:设备无法使用,造成服务中断。