关键信息 漏洞描述 CVE-2025-57434: Creacast Creabox Manager - 认证绕过漏洞 Creacast Creabox Manager 存在一个认证缺陷,允许攻击者绕过登录验证。当用户名为 且密码以字符串 开头时,系统会授予访问权限,无论后续内容如何。 厂商信息 厂商: CREACAST 厂商主页: http://www.creacast.com/ 产品信息 名称: Creacast Creabox Manager 固件版本: 4.4.4 漏洞类型 认证绕过 攻击向量 网络 (HTTP) 易受攻击的端点 利用方式 示例登录 用户名: creabox 密码: creacast123 - 任何以 开头的密码都被接受 手动利用 1. 导航到登录页面(例如:http:///) 2. 使用以下凭据: - 用户名: creabox - 密码: creacast_test 3. 获得管理访问权限。 影响 完全管理访问Web界面 对设备配置未经授权的更改 服务潜在中断或流媒体基础设施被劫持 发现者 Mohamed Shahat 参考资料 https://www.cve.org/CVERecord?id=CVE-2025-57434 建议修复措施 在后端强制严格的密码验证 不允许基于模式或硬编码的密码前缀 对管理员用户应用适当的认证逻辑 实施失败登录尝试的速率限制和日志记录 权宜之计 使用防火墙或VPN阻止外部IP对管理面板的访问 如果可能,更改或禁用默认/系统用户名如 监控使用 和 模式的可疑登录尝试