关键漏洞信息 漏洞概述 CVE ID: CVE-2025-56447 产品: TM2 Monitoring v3.04 厂商: RT Systems 发现者: Imraan Khan (Lich-Sec), Etienne Supra (ATKDEF Fusion Security) 日期: 2025-07-18 漏洞类型: 错误的访问控制(身份验证绕过、凭据泄露) 攻击向量: 远程 影响: 泄露明文管理凭据,完全访问受保护的功能 状态: 厂商已被告知并确认问题 漏洞细节 TM2 Monitoring v3.04 存在一个关键的身份验证绕过漏洞。该问题允许未认证的远程攻击者直接访问敏感的管理功能并恢复明文凭据,由于受影响组件中的不当访问控制。 复现步骤 1. 访问登录页面 - 打开浏览器并导航到: - 此时需要进行身份验证,但系统仅通过客户端JavaScript强制执行访问控制。 2. 使用Burp Suite(或curl)拦截 - 使用Web代理(如Burp Suite),发送一个直接的未认证请求到: - 服务器响应 页面的全部内容,而无需检查会话状态。 3. 从响应中提取凭据 - 在HTML响应中查找以下表单输入: 参考链接 RT Systems官网 TM2 Monitoring GitHub相关POC