CRITICAL🇬🇧 English

CVE-2025-65856

Authentication bypass w kamerach IP Xiongmai XM530 — dostęp bez uwierzytelnienia

CVSS 9.8v3.1pub. 2025-12-22upd. 2026-07-05

Podatność umożliwia nieuwierzytelnionemu atakującemu zdalny dostęp do wrażliwych danych urządzenia oraz transmisji wideo na żywo w kamerach IP Xiongmai XM530. Wynika z braku egzekwowania uwierzytelnienia w implementacji protokołu ONVIF dla 31 krytycznych endpoint'ów.

Pokaż oryginał (EN)

Authentication bypass vulnerability in Xiongmai XM530 IP cameras on Firmware V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06 allows unauthenticated remote attackers to access sensitive device information and live video streams. The ONVIF implementation fails to enforce authentication on 31 critical endpoints, enabling direct unauthorized video stream access.

🤖 Analiza AI
Jak działa

Implementacja protokołu ONVIF w oprogramowaniu sprzętowym kamery nie wymusza uwierzytelnienia na 31 krytycznych endpoint'ach. Atakujący może bezpośrednio wysyłać żądania do tych endpoint'ów bez podania jakichkolwiek danych uwierzytelniających. W efekcie możliwy jest nieautoryzowany dostęp do strumieni wideo oraz informacji o urządzeniu przez sieć, bez jakiejkolwiek interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do transmisji wideo na żywo oraz wrażliwych informacji o urządzeniu, co prowadzi do naruszenia poufności monitorowanych obszarów i potencjalnego ujawnienia danych konfiguracyjnych kamery.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia aktualizacji zaleca się izolację kamer od sieci publicznej, zastosowanie firewall blokującego dostęp do portów ONVIF z niezaufanych sieci oraz umieszczenie urządzeń w dedykowanym segmencie sieci VLAN z ograniczonym dostępem.

Kogo dotyczy

Kamery IP Xiongmai XM530 (Xiongmaitech Xm530V200 X6-Weq 8M) z oprogramowaniem sprzętowym w wersji V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06

Uwagi

Szczegółowy opis techniczny podatności dostępny jest pod adresem: https://luismirandaacebedo.github.io/CVE-2025-65856/

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Xiongmaitech Xm530v200 X6 Weq 8m

    HW
    Xiongmaitech
    wszystkie wersje
  • Xiongmaitech Xm530v200 X6 Weq 8m Firmware

    OS
    Xiongmaitech
    5.00.r02.000807d8.10010.346624.s.onvif_21.06
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-65857HIGH7.5ten sam produkt

An issue was discovered in Xiongmai XM530 IP cameras on firmware V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06...

CVE-2022-45460CRITICAL9.8ten sam vendor

Multiple Xiongmai NVR devices, including MBD6304T V4.02.R11.00000117.10001.131900.00000 and NBD6808T-PL V4.02....

CVE-2021-41506CRITICAL9.8ten sam vendor

Xiaongmai AHB7008T-MH-V2, AHB7804R-ELS, AHB7804R-MH-V2, AHB7808R-MS-V2, AHB7808R-MS, AHB7808T-MS-V2, AHB7804R-...

CVE-2020-22253CRITICAL9.8ten sam vendor

Xiongmai Technology Co devices AHB7008T-MH-V2, AHB7804R-ELS, AHB7804R-MH-V2, AHB7808R-MS-V2, AHB7808R-MS, AHB7...

CVE-2018-17915CRITICAL9.8ten sam vendor

All versions of Hangzhou Xiongmai Technology Co., Ltd XMeye P2P Cloud Server do not encrypt all device communi...