CRITICAL🇬🇧 English

CVE-2025-6561

Hunt Electronic DVR: ujawnienie danych logowania admina w pliku konfiguracyjnym

CVSS 9.8v3.1pub. 2025-06-26upd. 2026-04-15

Hybrydowe rejestratory DVR firmy Hunt Electronic (modele HBF-09KD i HBF-16NK) są podatne na ujawnienie wrażliwych informacji. Nieuwierzytelniony atakujący zdalnie może uzyskać dostęp do pliku konfiguracyjnego systemu i odczytać hasło administratora w postaci jawnego tekstu.

Pokaż oryginał (EN)

Certain hybrid DVR models ((HBF-09KD and HBF-16NK)) from Hunt Electronic have an Exposure of Sensitive Information vulnerability, allowing unauthenticated remote attackers to directly access a system configuration file and obtain plaintext administrator credentials.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowego przechowywania poświadczeń (CWE-256) oraz ekspozycji wrażliwych danych systemowych (CWE-497). Plik konfiguracyjny urządzenia jest dostępny bez jakiegokolwiek uwierzytelnienia przez sieć, a zawarte w nim hasło administratora nie jest zaszyfrowane ani zahashowane — przechowywane jest w postaci plaintext. Atakujący może bezpośrednio pobrać ten plik i natychmiast odczytać dane logowania.

Skutki

Atakujący uzyskuje pełne dane logowania administratora urządzenia, co umożliwia przejęcie całkowitej kontroli nad rejestratorem DVR, w tym dostęp do strumieni wideo, modyfikację konfiguracji oraz potencjalne wykorzystanie urządzenia jako punktu wejścia do sieci wewnętrznej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (TWCERT/CC: https://www.twcert.org.tw/en/cp-139-10200-6b567-2.html). Do czasu aktualizacji firmware należy odizolować urządzenia od sieci publicznej, ograniczyć dostęp do interfejsu zarządzania wyłącznie do zaufanych adresów IP oraz zablokować dostęp do pliku konfiguracyjnego na poziomie firewall lub VPN.

Kogo dotyczy

Hybrydowe rejestratory DVR firmy Hunt Electronic, modele HBF-09KD oraz HBF-16NK (konkretne wersje firmware wskazane w referencjach producenta).

Uwagi

Podatność zgłoszona i opublikowana przez TWCERT/CC (Taiwan Computer Emergency Response Team / Coordination Center). Dotyczy wyłącznie wymienionych modeli urządzeń Hunt Electronic.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje