关键漏洞信息 IROAD X Series 1. CVE-2025-2341: 默认凭据用于SSID - 问题:设备使用默认的SSID凭据,且无法更改。 - 影响:攻击者可以连接到设备网络,无需认证。 2. CVE-2025-2342: APK中硬编码凭据 - 问题:固件版本5.2.2及以下包含硬编码凭据,提供对端口9090和9092的未授权访问。 - 影响:攻击者可以通过这些端口访问设备。 3. CVE-2025-2343: 绕过设备配对 - 问题:通过修改MAC地址验证机制,攻击者可以绕过配对过程。 - 影响:攻击者可以控制设备并访问其功能。 4. CVE-2025-2344: 远程转储视频片段和实时视频流 - 问题:设备允许远程访问录制和实时视频流。 - 影响:攻击者可以未经授权访问视频数据。 5. CVE-2025-2345: 管理设置以获取敏感数据和破坏汽车电池 - 问题:设备允许用户修改系统设置,可能导致隐私泄露和物理损坏。 - 影响:攻击者可以控制设备并可能损坏汽车电池。 6. CVE-2025-2346: 公共域名用于内部域名 - 问题:设备使用公共域名作为内部域名,存在安全风险。 - 影响:可能导致DNS劫持和中间人攻击。 IROAD FX2 7. CVE-2025-2347: 绕过设备配对/注册 - 问题:设备在配对过程中存在漏洞,允许未经授权访问HTTP服务器。 - 影响:攻击者可以绕过配对过程并访问设备功能。 8. CVE-2025-2348: 通过HTTP和RTSP无认证转储文件 - 问题:设备允许通过HTTP和RTSP接口无认证访问文件。 - 影响:攻击者可以下载和上传文件,导致数据泄露。 9. CVE-2025-2349: 暴露的根密码 - 问题:设备配置文件中暴露了根密码。 - 影响:攻击者可以利用此密码获得设备的完全控制权。 10. CVE-2025-2350: 未认证上传 - 问题:设备允许未认证用户上传任意文件。 - 影响:攻击者可以上传恶意文件,导致设备被控制。 11. CVE-2025-30131: 未受限制的Webshell - 问题:设备允许通过特定URL访问未受限制的Webshell。 - 影响:攻击者可以执行任意命令,控制设备。 12. CVE-2025-30133: 未受保护的URL快捷方式 - 问题:设备允许通过未受保护的URL快捷方式访问关键文件。 - 影响:攻击者可以下载和修改关键文件,导致设备被控制。 13. CVE-2025-30135: 锁定设备所有者(DoS) - 问题:设备在密码更改后无法恢复,导致拒绝服务。 - 影响:一旦密码更改,设备将无法恢复,导致永久性锁定。