关键信息总结 漏洞概述 漏洞名称: VIVOTEK NDXXXXP NVR CORE Sensitive Information Disclosure (Authenticated) CVE编号: CVE-2025-3403 作者: Fernando Parizzi 受影响产品和版本 确认受影响的产品和版本: - VIVOTEK NVR ND9541P - Version 3.3.0.104 - Device Pack v5.9.480 - VIVOTEK NVR ND9525P - Version 4.2.0.101 - Device Pack v5.9.480 - VIVOTEK NVR ND8422P - Version 2.4.0.204 - Device pack v5.9.494 和 v5.9.460 确认的修复版本: 尚未确定 漏洞描述 设备类型: VIVOTEK NVR(网络视频录像机) 漏洞详情: 在认证用户访问页面源代码时,可以读取存储在源代码中的凭据,导致敏感信息泄露。 利用方法 步骤: 1. 访问设置页面 2. 进入 "CAMERA > MANAGEMENT" 菜单查看每个摄像头的隐藏凭据 3. 通过检查源代码获取隐藏在项目符号中的凭据 其他潜在风险 SMTP凭据暴露: 在 "Alarm > Email > SMTP" 菜单中,通过更改文本类型从密码到文本,可以泄露SMTP凭据。 Wi-Fi访问凭据: 可能存在Wi-Fi访问凭据暴露的风险。 影响版本截图 提供了受影响版本的界面截图,显示了具体的版本号和设备包版本。 ``` 这些信息帮助安全专家和系统管理员识别和修复VIVOTEK NVR设备中的敏感信息泄露漏洞。