从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 产品:C-MOR Video Surveillance - 制造商:za-internet GmbH - 受影响版本:5.2401, 6.00PL01 - 测试版本:5.2401, 6.00PL01 - 漏洞类型:明文存储敏感信息(CWE-312) - 风险级别:中等 2. 漏洞细节: - 敏感信息(例如摄像头的登录凭据)以明文形式存储。 - 通过分析C-MOR系统,发现登录凭据存储在明文形式。 - 攻击者可以通过利用路径遍历攻击(如SYSS-2024-025)来获取登录凭据。 3. PoC示例: - 使用curl命令执行PoC攻击,通过发送HTTP请求来获取登录凭据。 4. 解决方案: - 没有修复此安全问题。 5. 披露时间线: - 2024年4月5日:漏洞报告给制造商。 - 2024年4月8日:制造商确认收到安全公告。 - 2024年5月8日:进一步讨论安全更新和披露时间线。 - 2024年5月10日:发布C-MOR软件版本5.30,包含安全更新。 - 2024年7月19日:电子邮件通知制造商关于C-MOR视频监控版本6的发布日期。 - 2024年7月30日:制造商回复,计划在2024年8月1日发布。 - 2024年7月31日:发布C-MOR软件版本6.00PL1。 - 2024年9月4日:发布安全公告。 6. 参考资料: - C-MOR产品网站:https://www.c-mor.com/ - SySS安全公告:https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2024-028.txt - SySS安全公告:https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2024-025.txt - SySS负责披露政策:https://www.syss.de/en/responsible-disclosure-policy/ 7. 免责声明: - 信息提供“原样”且无任何形式的保证。 - 信息可能会更新以提供更准确的信息。 8. 版权: - 创意 Commons 许可证(3.0版):http://creativecommons.org/licenses/by/3.0/deed.en 这些信息可以帮助理解漏洞的背景、影响以及制造商的响应和修复过程。