免费扫描
分析待定CVE-2026-27785

CVE-2026-27785: Hardcoded Credentials in Milesight AIOT Camera

平台

linux

组件

milesight-ms-cxx63-pd

在NVD查看
保存

CVE-2026-27785描述了Milesight MS-Cxx63-PD AIOT相机固件中发现的硬编码凭据漏洞。该漏洞允许未经授权的攻击者访问受影响的设备,可能导致数据泄露、设备控制或进一步的网络攻击。受影响的版本包括0.0.0–T63.8.0.4LPR-r3。建议用户尽快更新固件以修复此安全问题。

影响与攻击场景

硬编码凭据漏洞是安全领域的常见且严重的问题。在Milesight AIOT相机固件中发现此类漏洞意味着攻击者无需复杂的攻击链,即可直接利用这些凭据登录到设备。攻击者可以利用此漏洞访问相机的视频流、配置设置,甚至可能通过相机控制整个网络。由于AIOT相机通常部署在关键位置,用于监控和安全,因此该漏洞的影响范围可能非常广泛。攻击者可以利用相机作为跳板,进一步渗透到内部网络,窃取敏感数据或破坏系统。这种漏洞类似于其他已知的硬编码凭据案例,强调了在设备固件中安全存储凭据的重要性。

利用背景

CVE-2026-27785于2026年4月27日公开披露。目前,该漏洞的公开利用情况尚不明确,但由于其严重性和易于利用的特性,预计可能会被积极利用。该漏洞的EPSS评分预计为中等,表明存在一定程度的利用风险。建议密切关注安全社区的动态,并及时采取缓解措施。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.02% (5% 百分位)

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorAdjacent攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityHigh数据未授权篡改风险AvailabilityHigh服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
相邻 — 需要网络邻近:相同LAN、蓝牙或本地无线网段。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
高 — 攻击者可写入、修改或删除任何数据。
Availability
高 — 完全崩溃或资源耗尽,完全拒绝服务。

受影响的软件

组件milesight-ms-cxx63-pd
供应商Milesight
最低版本0.0.0
最高版本T_63.8.0.4_LPR-r3

弱点分类 (CWE)

CWE-798

时间线

  1. 发布日期
  2. 修改日期
  3. EPSS 更新日期

缓解措施和替代方案

由于目前尚未发布官方修复版本,缓解此漏洞的重点在于限制攻击面并检测潜在的入侵尝试。首先,建议隔离受影响的相机,将其与关键网络资源断开连接。其次,实施严格的网络访问控制策略,限制对相机的访问权限。可以使用防火墙规则或网络分段来限制对相机的访问。此外,监控相机的日志文件,查找任何异常活动或未经授权的登录尝试。虽然无法完全消除风险,但这些措施可以显著降低攻击者利用此漏洞的成功率。在官方修复版本发布后,应立即更新相机固件。

修复方法翻译中…

Actualice el firmware de la cámara Milesight MS-Cxx63-PD a una versión corregida que no contenga las credenciales codificadas. Consulte la página de soporte de Milesight para obtener las últimas versiones de firmware y las instrucciones de actualización.

常见问题

什么是CVE-2026-27785 — 硬编码凭据漏洞在Milesight AIOT相机中?

CVE-2026-27785描述了Milesight MS-Cxx63-PD AIOT相机固件中存在硬编码凭据的漏洞,攻击者可利用这些凭据未经授权地访问设备。

我是否受到CVE-2026-27785在Milesight AIOT相机中的影响?

如果您正在使用Milesight MS-Cxx63-PD AIOT相机的0.0.0–T63.8.0.4LPR-r3版本,则可能受到影响。请立即检查您的设备。

如何修复CVE-2026-27785在Milesight AIOT相机中的漏洞?

目前尚未发布官方修复版本。建议隔离受影响的相机并实施严格的网络访问控制,等待官方更新发布后立即更新。

CVE-2026-27785是否正在被积极利用?

虽然目前尚未确认有公开利用案例,但由于漏洞的严重性和易用性,预计存在被利用的风险。

在哪里可以找到Milesight官方针对CVE-2026-27785的公告?

请访问Milesight官方网站或安全公告页面,查找有关CVE-2026-27785的最新信息和更新。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...