关键漏洞信息 IROAD X Series 1. CVE-2025-2341: 默认SSID凭据 - 问题:默认SSID使用不可更改的凭据。 - 影响:允许任何人在范围内访问设备,可能导致未经授权的访问。 2. CVE-2025-2342: APK中的硬编码凭据 - 问题:APK中包含硬编码凭据,影响端口9091和9092。 - 影响:攻击者可以利用这些凭据进行未授权访问。 3. CVE-2025-2343: 绕过设备配对 - 问题:MAC地址认证机制存在缺陷。 - 影响:允许攻击者绕过配对过程,获得完全访问权限。 4. CVE-2025-2344: 远程转储视频和实时视频流 - 问题:API接口暴露在端口9091和9092上,允许访问录制和实时视频。 - 影响:导致隐私泄露和数据滥用。 5. CVE-2025-2345: 管理设置以获取敏感数据和破坏汽车电池 - 问题:通过USB端口修改系统设置。 - 影响:可能导致数据泄露和物理损坏。 6. CVE-2025-2346: 内部域名使用公共域名 - 问题:内部域名使用公共域名。 - 影响:可能被外部网络访问,增加安全风险。 IROAD FX2 7. CVE-2025-2347: 绕过设备配对/注册 - 问题:设备注册过程中存在漏洞。 - 影响:允许攻击者绕过配对过程,获得未授权访问。 8. CVE-2025-2348: 无需认证通过HTTP和RTSP转储文件 - 问题:HTTP和RTSP接口允许未授权访问文件。 - 影响:导致数据泄露。 9. CVE-2025-2349: 暴露根密码 - 问题:配置文件中包含明文根密码。 - 影响:允许攻击者直接访问设备。 10. CVE-2025-2350: 未认证上传 - 问题:允许未认证用户上传文件。 - 影响:可能导致恶意软件注入。 11. CVE-2025-30131: 无限制WebShell - 问题:存在可执行任意命令的WebShell。 - 影响:允许攻击者完全控制设备。 12. CVE-2025-30133: 未保护的URL快捷方式 - 问题:SD卡上的未保护URL快捷方式。 - 影响:可能导致远程代码执行。 13. CVE-2025-30135: 锁定设备所有者(DoS) - 问题:无法更改SSD密码。 - 影响:可能导致设备锁定,无法使用。