关键漏洞信息 漏洞标题: Tattile Cameras 1.181.5 Unauthenticated RTSP Stream Disclosure 咨询ID: ZSL-2026-5978 类型: Local/Remote 影响: Exposure of System Information, Exposure of Sensitive Information 风险: (3/5) 发布日期: 24.02.2026 摘要 Tattile摄像机面临未认证和未经授权的实时RTSP视频流访问问题。 受影响版本 Smart+ 家族: Smart+, Tolling+, Speed, Traffic Light Vega 家族: Axle Counter, Vega 53, Vega33 & Vega 11 Basic 家族: Basic MK2 ANPR Mobile 固件版本: 1.181.5 测试环境 lighttpd/1.4.64 厂商状态 2026年1月22日: 发现漏洞 2026年1月22日: 厂商联系 2026年3月23日: 厂商回应,要求在Academy门户注册账户并提交票证 2026年3月23日: 回应厂商,发送详细信息并要求进一步规划 2026年1月26日: 与厂商合作 2026年2月6日: 向厂商询问最新进展 2026年2月10日: 厂商正在评估问题 2026年11月11日: 厂商确认漏洞,分享计划在2026年5月进行补丁 2026年2月18日: 厂商确认其他漏洞,计划在2026年9月19日前修补 2026年2月18日: 向厂商提供3个CVE,并询问最新固件版本和受影响模型以确认 2026年2月20日: 厂商确认所有受3个CVE影响的型号,并提供当前易受攻击的固件版本信息1.181.5 2026年2月20日: 回应厂商 2026年2月23日: 向厂商发送草案咨询以供审查/评论 2026年2月24日: 发布公共安全咨询 证明概念 (PoC) tattile_rtsp.txt 致谢 漏洞由Gjoko Krstic发现 - 参考 [1] https://www.cve.org/CVERecord?id=... 变更日志 [2026年2月24日] - 初始发布