主要脆弱性情報 タイトル: iSeeQ Hybrid DVR WH-H4 1.03R / 2.0.0.P (get_jpeg) ストリーム情報漏洩 アドバイザリID: ZSL-2019-5539 タイプ: ローカル/リモート 影響: システム情報の開示、機密情報の開示 リスク: 3/5 公開日: 2019年10月29日 概要 4/8/16チャンネル対応のハイブリッドスタンドアロンDVRは、高性能ビデオ処理チップと組み込みLinuxシステムを採用し、高画質な画像を提供します。 スクリプトが呼び出された際、このDVRは認証不要でライブストリームの不正開示に対して脆弱です。 ベンダー iSeeQ: http://www.iseeq.co.kr 影響バージョン WH-H4 1.03R / 2.0.0.P 検証環境 Boa/0.94.13 PHP/7.0.22 DVR Web Server POC iseiq_dvrstream.sh 謝辞 脆弱性の発見者: Gjoko Krstic - 参照 [1] https://packetstormsecurity.com/files/155032 [2] https://www.exploit-db.com/exploits/47562 [3] https://cxsecurity.com/issue/WLB-2019100192 [4] https://exchange.xforce.ibmcloud.com/vulnerabilities/170650 変更履歴 [2019年10月29日] - 初期リリース [2019年10月31日] - 参照 [1]、[2]、[3] を追加 [2019年11月1日] - 参照 [4] を追加