文章总结： AkamaiSIRT披露Vivotek旧款摄像头存在严重远程命令注入漏洞CVE-2026-22755。攻击者利用文件上传处理缺陷注入恶意代码，无需认证即可获取root权限，极易导致设备沦为僵尸网络节点。建议涉及FD8365等旧款型号用户及时修补。 综合评分： 88 文章分类： IoT安全,漏洞分析,漏洞预警,威胁情报

Vivotek 严重漏洞授予 root 权限 (CVE-2026-22755)

sec随谈 sec随谈

sec随谈

2026年1月22日 08:46 北京

Vivotek老款摄像头的固件中发现了一个新的严重漏洞，可能导致数千台监控设备沦为僵尸网络的傀儡。Akamai安全情报与响应团队（SIRT）公布了CVE-2026-22755的详细信息，这是一个远程命令注入漏洞，CVSS评分为9.3。

这一发现正值安全团队争分夺秒地锁定传统物联网 (IoT) 设备之际，这些设备已成为发起大规模分布式拒绝服务 (DDoS) 攻击的首选基础设施。

漏洞在于这些摄像头处理文件上传的方式。Akamai 的研究人员发现，固件在处理文件名之前未能正确地对其进行清理。

根据该报告，“Akamai 安全情报和响应团队 (SIRT) 发现 Vivotek 旧版固件中存在一个新漏洞，该漏洞允许远程用户将任意代码注入到提供给 upload_map.cgi 的文件名中”。

技术根源在于经典的命令注入攻击。系统使用一个函数格式化包含用户提供的文件名的字符串，然后将其直接传递给系统 shell。“通过提供一个精心构造的、嵌入了 shell 命令的文件名，我们可以以 HTTP 服务器用户 ID（即 root 用户）的身份执行命令。”

这意味着攻击者只需上传一个恶意名称的文件，即可获得对摄像头的完全管理控制权。

更糟糕的是，这种漏洞利用的门槛几乎为零。在很多情况下，攻击者甚至不需要破解密码就能入侵系统。

研究人员指出：“我们通过分析固件中的 passwd 文件确定，Vivotek 的旧款摄像头似乎没有设置密码。因此，这种漏洞可能不需要身份验证。”

该漏洞会影响多种旧型号产品，包括 FD8365、IB9365 和 IP9165 系列等。

由于 root 权限很容易获得，这些未打补丁的摄像头仍然是威胁行为者扩展其僵尸网络的主要目标。

参考链接：

https://www.akamai.com/blog/security-research/2026/jan/command-injection-vivotek-legacy-firmware-need-to-know

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《Vivotek 严重漏洞授予 root 权限 (CVE-2026-22755)》