文章总结： TP-Link修复VIGI摄像头高危漏洞CVE-2026-0629，CVSS8.7，32余款C/InSight系列受影响；攻击者滥用本地密码恢复功能绕过认证重置管理员密码，完全控制设备并窃取视频、横向渗透、组建僵尸网络。2025年10月互联网已发现2500+暴露设备，企业需立即升级固件并限制摄像头公网暴露。 综合评分： 85 文章分类： 漏洞预警,IoT安全,网络安全,安全建设,应急响应

TP-Link VIGI摄像头存在严重缺陷，导致监控系统被远程控制

原创

ZM ZM

暗镜

2026年1月22日 09:00 北京

TP-Link 修复了一个高危漏洞，漏洞编号为 CVE-2026-0629（CVSS 评分 8.7），该漏洞影响超过 32 款 VIGI C 和 VIGI InSight 摄像头型号。攻击者利用该漏洞，通过滥用密码恢复功能绕过本地网络的身份验证，重置管理员密码，从而完全控制摄像头。

该安全公告指出：“VIGI摄像机本地Web界面密码恢复功能中的身份验证绕过漏洞允许局域网攻击者通过操纵客户端状态，在未经验证的情况下重置管理员密码。攻击者可以获得设备的完全管理权限，从而危及设备配置和网络安全。”

TP-Link 的 VIGI 摄像头是 TP-Link 在其 VIGI 产品线下生产的专业视频监控 (CCTV) 摄像头，主要面向企业用户，而非家庭消费者。

Redinent Innovations公司的研究员Arko Dhar报告了这一漏洞。

这位研究人员告诉《安全周刊》，攻击者可以远程利用这个漏洞，而且在2025年10月，他发现了超过2500台暴露在互联网上的易受攻击的摄像头。他指出，他只检查了一种型号，因此实际受影响的设备数量可能要高得多。

TP-Link VIGI 摄像头被黑客入侵可能会泄露实时和录制的视频，导致间谍活动和物理入侵，攻击者可以进入企业网络，建立用于 DDoS 攻击的僵尸网络，篡改证据，扰乱运营，并因侵犯隐私而造成法律和监管风险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《TP-Link VIGI摄像头存在严重缺陷，导致监控系统被远程控制》