andylee77/anjvision-cve-2026

# 协调安全披露 — Anjvision YSSD-RTMP-H5 固件 针对 **深圳安佳视觉信息技术有限公司** (Anjvision) 生产、并以 **Jennov、Anpviz、GWSecurity、SV3C、Jovision、Esunstar** 和 **ICamra** 等品牌转售的 IP 摄像头所运行固件中的漏洞，进行多 CVE 协调披露。 ## 状态 - **CVE ID：** 已于 2026-05-20 向 MITRE CNA-LR 提交全部 10 个。CAN 编号见下方预留表。CVE-YYYY-##### ID 将在 MITRE 分配后添加（通常需 2-7 个工作日）。 - **已通知供应商：** 2026-05-20 — 已通过直接电子邮件发送给 anjvision.com 的四位指定联系人（朱先生/技术支持负责人、邱先生/销售、李女士/技术支持、林先生/技术支持）。抄送的推测邮箱 `security@anjvision.com` 退信——不存在此收件箱。 - **已通知 CERT/CC：** 2026-05-20 通过漏洞报告表单提交（VRF#26-05-DLXXC）。CERT/CC 于 2026-05-21 收到报告并开启 **CERT/CC case VU#725190**，由 CISA 漏洞管理协调。公开漏洞公告将于披露日当天或之后发布在 。 - **披露时间线：** 从通知供应商起算 **90 天**，或 **补丁可用后 30 天**，以较早者为准。 - **第 90 天发布目标：** **2026-08-27** 当天或之前。 ## Day-0 时间线（均为 2026-05-20） | 时间（UTC） | 操作 | 追踪器 | |---|---|---| | 19:18 | MITRE 第 1 次提交（共 10 次）（CVE-6 ONVIF 未认证） | CAN-2026-2030200 | | 19:47 | MITRE 第 2-10 次提交批量预留 | CAN-2026-2050047 至 2050055 | | 20:37 | MITRE 最终提交 | CAN-2026-2050055 | | 同日 | 供应商电子邮件发送给 Anjvision（4/5 送达，1 封退信） | （Gmail 已发送文件夹） | | 同日 | 提交 CERT/CC 漏洞报告表单 | VRF#26-05-DLXXC | ## 为何在此 MITRE Vulnogram 要求在 CVE 预留时，`References` 字段必须包含一个公开可访问的 URL。在完整技术报告于第 90 天发布之前，此存储库将作为本批次全部 10 个 CVE 的规范参考 URL。 完整报告——包括重现步骤、PoC 脚本、固件审计细节和受影响产品矩阵——将在披露日当天或之前推送到此存储库。 ## 受影响供应商/品牌集群 漏洞影响 Anjvision 编写并分销至多个转售品牌的 **YSSD-RTMP-H5 固件系列**。共享上游固件最清晰的指纹是每个品牌变体中 `/etc/passwd_sys` 文件内的 md5crypt root 密码哈希值：`$1$yFuJ6yns$33Bk0I91Ji0QMujkR/DPi1`。同一哈希也出现在： - gabonator 的公开 HiSilicon-camera root-hashes gist（将其归因于 SV3C L 系列） - Bishop Fox 的 2018 年披露（针对 SV3C — 见 CVE-2018-12666 至 CVE-2018-12675） - gwillgues 的 2024 年披露（针对 Anpviz — 见 CVE-2024-35341 至 CVE-2024-35344） ## 针对此固件系列的先前公开披露 本批次基于并协调了针对同一上游固件树的早期公开披露： - **2024-05-04** — gwillgues / willgu.es 披露了针对 Anpviz V3.2.2.2 固件的 4 个 CVE： - CVE-2024-35341（未认证 `/config.xml` 下载） - CVE-2024-35342（未认证 `/settings/*` 修改）—— **在 V3.3.2.4（2024-12-26）构建版本中经验证仍未修补**，作为本次研究的一部分。 - CVE-2024-35343（未认证 `/playback/` 文件读取） - CVE-2024-35344（libtools.so 中硬编码 AES-256 密钥）—— **在 V3.x 中已静默轮换，但根本的类问题仍然存在**。 - **2018-10** — Bishop Fox 披露了针对 SV3C L 系列摄像头的 10 个 CVE，基于更早的海思时代此固件版本： 至 CVE-2018-12675 ## 预留列表（于 2026-05-20 向 MITRE CNA-LR 提交） | 内部编号 | 简称 | CWE | CVSS | MITRE CAN ID | CVE-ID（分配后） | |---|---|---|---|---|---| | 1 | dbg_server 中的命令注入（root RCE） | CWE-78 | 8.0 H | CAN-2026-2050047 | （待定） | | 2 | 未记录的调试后门（console.cgi → dbg_server） | CWE-489 | 6.5 M | CAN-2026-2050051 | （待定） | | 3 | 未认证的云 UID 及明文凭证泄露 | CWE-200 | 5.3 M | CAN-2026-2050054 | （待定） | | 4 | user_management?uid=X 静默将管理员重置为默认 | CWE-620 | 5.7 M | CAN-2026-2050052 | （待定） | | 5 | UART 串行控制台 getty 上弱 DES crypt(3) root 哈希 | CWE-916 | 4.6 M | CAN-2026-2050055 | （待定） | | 6 | ONVIF 设备服务操作无需认证即可访问 | CWE-306 | **9.8 C** | CAN-2026-2030200 | （待定） | | 7 | /cgi-bin/connect_check 未认证网络探测/DNS 泄露 | CWE-918 | 5.3 M | CAN-2026-2050053 | （待定） | | 8 | /opt/ch/dev_bind 中硬编码的共享云租户 API 凭证 | CWE-798 | 7.5 H | CAN-2026-2050049 | （待定） | | 9 | 固件更新接受未签名的二进制文件（仅 MD5） | CWE-347 | 8.8 H | CAN-2026-2050048 | （待定） | | 10 | /cgi-bin/setScheduleStorage 中的命令注入（NFS 挂载） | CWE-78 | 8.0 H | CAN-2026-2050050 | （待定） | 全部 10 个通过 MITRE Vulnogram 提交。提交时出版请求被拒绝 — 记录仅为预留状态，直至第 90 天（2026-08-27）或供应商发布补丁。 ## 联系方式 研究员：andylee77 如需协调披露事宜，请通过供应商/ CERT/CC 通知中注明的渠道回复。 *此存储库将随着 MITRE 分配 CVE ID 及披露时间线的进展而更新。完整技术报告将于 2026-08-27 当天或之前在此处发布。*

标签：CERT/CC, CVE, IP摄像头, ONVIF, RTMP, Streamlit, 协调披露, 厂商通知, 品牌多厂商, 固件安全, 固件漏洞, 安全公告, 安全漏洞, 披露时间线, 摄像头安全, 数字签名, 漏洞报告, 漏洞披露, 物联网安全, 网络安全, 访问控制, 隐私保护