关键信息 标题: BEWARD N100 H.264 VGA IP Camera M2.1.6 Arbitrary File Disclosure 咨询ID: ZSL-2019-5511 类型: Remote/Local 影响: Exposure of System Information, Exposure of Sensitive Information 风险: (3/5) 发布日期: 04.02.2019 摘要 N100是一款紧凑型彩色IP摄像头,支持更高效的压缩格式,适用于低速网络,可实时传输图像,延迟较小。摄像头支持广播模式的切换,在远程文件存储发生通信故障时,可以继续记录到microSDHC存储卡。N100易于安装和配置,具有所有必要的工具,用于组织低成本专业视频监控系统。 描述 摄像头存在一个经过验证的文件披露漏洞。通过 参数传递的输入未被正确验证即用于读取文件。这可以用来通过绝对路径或发送CGICMD API来泄露任意文件的内容。 厂商 Beward R&D Co., Ltd - https://www.beward.net 影响版本 M2.1.6.04C014 测试于 Boa/0.94.14rc21 Farady ARM Linux 2.6 厂商状态 [26.01.2019] 漏洞发现 [28.11.2018] 联系厂商 [03.02.2019] 厂商未回应 [04.02.2019] 公共安全公告发布 证明 beward_fd.txt 参考 1. exploit-db 2. packetstorm 3. IBM X-Force 更新日志 [04.02.2019] 初始发布 [10.02.2019] 添加参考[1],[2],[3]