关键信息 标题 Shuffle Master Deck Mate 2 Hard-coded Credentials & Exposed Services 严重性 High 日期 October 24, 2025 影响范围 A defined firmware range is unavailable. The vendor has allegedly released a firmware update addressing the flaws as of 2025-10-23. CVE CVE-2025-34501 CWE CWE-798 Use of Hard-coded Credentials CVSS 7 CVSS V4 Vector CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 参考 IOActive Researcher Disclosure 贡献者 Joseph Tartaro of IOActive, Enrique Nissim of IOActive, Ethan Shackelford of IOActive 描述 Deck Mate 2 包含静态的、硬编码的 root shell 和 web 用户界面凭证,同时默认启用了多个管理服务(SSH、HTTP、Telnet、SMB、X11)。如果攻击者能够访问这些接口 - 通常通过本地或近本地访问,例如连接到 USB 或以太网端口 - 内置的凭证允许管理登录和对系统的完全控制。一旦通过身份验证,攻击者可以访问固件实用程序、修改控制器软件,并建立持久的攻击。远程攻击方式可能通过网络、蜂窝或遥测链路存在,但通常需要额外的能力或操作员错误。当前固件版本中已禁用了 USB 访问。