海康威视 视频 监控 漏洞列表

【漏洞对象】海康威视视频监控 【涉及版本】HikvisionDS-2CD2xx2F-I系列V5.2.0版本140721至V5.4.0版本160530，DS-2CD2xx0F-I系列V5.2.0版本140721至V5.4.0版本160160，DS-2CD2xx2FWD系列V5【漏洞描述】海康威视视频监控API包括对私有HikCGI协议的支持，该协议通过摄像头的web界面公开URI端点。HikCGI协议处理程序检查查询字符串中名为“auth”的参数是否存在，如果该参数包含base64编码的“user:password”的字符串，则HikCGIAPI协议调用伪装的用户身份，密码将被忽略。该漏洞可以直接获取用户密码配置和截图。