关键漏洞信息 Finding 1 - CVE-2025-30106: 默认凭据用于SSID 描述: IROAD-Q设备使用固定的SSID和默认凭据,这些凭据无法更改。 影响: 攻击者可以连接到网络并访问敏感信息。 Finding 2 - CVE-2025-30109: APK中硬编码的凭据(IROAD <= v5.2.5) 描述: IROAD-Q移动应用程序包含硬编码的凭据,允许未经授权的访问。 影响: 攻击者可以通过端口9091和9092进行未授权访问。 Finding 3 - CVE-2025-30110: 绕过设备配对(CWE-798) 描述: IROAD-Q设备允许通过MAC地址扫描绕过配对过程。 影响: 攻击者可以连接到设备而无需配对。 Finding 4 - CVE-2025-30111: 远程转储视频片段和实时视频流 描述: 设备允许通过HTTP接口远程访问录制和实时视频流。 影响: 攻击者可以获取敏感视频数据。 Finding 5 - CVE-2025-30107: 管理设置以获取敏感数据和耗尽汽车电池 描述: 设备允许修改关键系统设置,如网络配置和记录间隔。 影响: 攻击者可以耗尽汽车电池并获取敏感数据。 Finding 6 - CVE-2025-30132: 公共域名用于内部域名 描述: 设备使用公共域名作为内部域名,存在安全风险。 影响: 攻击者可能利用此漏洞进行中间人攻击。 Finding 7 - CVE-2025-30108: 暴露的FTP管理员凭据 描述: 设备包含硬编码的FTP凭据,允许访问固件文件。 影响: 攻击者可以下载和修改固件。 Finding 8 - CVE-2025-7070: MFA垃圾邮件以诱导设备配对疲劳 描述: 设备在多次配对尝试后会发送大量MFA消息。 影响: 攻击者可以利用此漏洞导致设备配对失败。