漏洞关键信息 漏洞名称: FLIR Systems FLIR Thermal Traffic Cameras Websocket Device Manipulation 识别ID: ZSL-2018-5490 类型: Local/Remote 影响: Exposure of System Information, Exposure of Sensitive Information, DoS, Manipulation of Data, Cross-Site Scripting 风险: 5/5 发布日期: 06.10.2018 漏洞描述 FLIR的热交通摄像头存在未经身份验证的设备操作漏洞,利用了websocket协议。这些设备使用了websocket通信的不安全实现,允许攻击者直接修改运行配置,窃取信息或通过发起DoS场景(使用Reboot命令)将网络流量泄露给纯文本中的MitM恶意攻击者。该Web服务还存在跨站点WebSocket劫持(CSWSH)的安全问题。 影响版本 V1.01-0bb5b27 - (TrafiOne) - Codename: TrafiOne E1.00.09 - (TI BPL2 EDGE) - Codename: TIP4EDGE V1.02.P01 - (TI x-stream) - Codename: TIP2 V1.05.P01 - (ThermiCam) - Codename: ThermiCam V1.04.P02 - (ThermiCam) - Codename: ThermiCam V1.04 - (ThermiCam) - Codename: ThermiCam V1.01.P02 - (ThermiCam) - Codename: ThermiCam V1.03.P03 - (TrafiSense) - Codename: TrafiSense V1.06 - (VIP-IP) - Codename: VIP-IP V1.02.P02 - (TrafiRadar) - Codename: TrafiRadar 漏洞发现和修复 [26.07.2018] 发现漏洞 [06.10.2018] 发布协调公共安全建议