HIKVISION 流媒体管理服务器 user.xml 账号密码泄漏漏洞¶

漏洞描述¶

HIKVISION 流媒体管理服务器配置文件未做鉴权，攻击者通过漏洞可以获取网站账号密码

漏洞影响¶

HIKVISION 流媒体管理服务器

网络测绘¶

"杭州海康威视系统技术有限公司 版权所有"

漏洞复现¶

登陆页面

验证POC

/config/user.xml

图中账号密码为base64加密