CVE-2018-10661 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Axis IP Cameras 存在授权绕过漏洞。 💥 **后果**：攻击者发送未认证请求，即可绕过 Web 服务器授权机制，非法访问系统。

🔍 **缺陷点**：Web 服务器**授权机制**失效。 ⚠️ **CWE**：数据未提供具体 CWE ID，但核心在于**身份验证缺失/绕过**。

📦 **受影响产品**：瑞典安讯士（Axis）公司的 **Axis IP Cameras**。 🌍 **范围**：多个模块存在此问题，具体型号需参考官方受影响产品列表。

🕵️ **黑客能力**：无需认证即可访问。 📂 **数据风险**：可能获取摄像机配置、视频流或管理权限，完全**绕过安全防线**。

🚪 **利用门槛**：**低**。 🔑 **条件**：无需认证（未认证请求），只需构造特定 HTTP 请求即可触发，无需复杂配置。

💣 **现成 Exp**：**有**。 🔗 **来源**：Exploit-DB 编号 **45100** 提供利用代码，技术门槛低，易被滥用。

🔎 **自查方法**： 1. 检查设备是否为 Axis IP Cameras。 2. 尝试发送未认证的敏感请求，观察是否返回正常响应。 3. 使用漏洞扫描器检测授权绕过特征。

🛡️ **官方修复**：**已发布**。 📄 **依据**：Axis 官方发布了安全公告 **ACV-128401**，并提供了受影响产品列表及修复建议。

🚧 **临时规避**： 1. 立即升级固件至安全版本。 2. 若无法升级，限制 Web 管理接口的**网络访问权限**（如仅内网访问）。 3. 启用强密码策略（虽可绕过，但增加攻击成本）。

🔥 **优先级**：**高**。 ⚡ **理由**：无需认证即可利用，且有现成 Exp，直接威胁设备控制权，建议**立即修复**。