文章总结： CVE-2025-65856是雄迈XM530系列IP摄像机ONVIF服务中的严重身份验证绕过漏洞，CVSS评分9.8。漏洞源于缺失WS-Security认证，导致31个管理接口无需凭据即可访问，可获取视频流、用户凭证及设备配置。影响范围涉及大量OEM贴牌设备，目前无官方补丁。建议用户立即实施网络隔离、防火墙规则、禁用ONVIF服务，并通过VPN访问设备。 综合评分： 87 文章分类： 漏洞分析,IoT安全,网络安全,应急响应,解决方案

CVE-2025-65856：雄迈 IP 摄像机的 ONVIF 身份验证完全绕过漏洞

幻泉之洲

2026年4月25日 09:02 北京

在小说阅读器读本章

去阅读

雄迈（Xiongmai）XM530 系列IP摄像机的ONVIF服务实现中存在严重漏洞，允许未经身份验证的攻击者远程访问几乎所有设备功能，包括实时视频流、配置信息和用户凭证。CVSS v3.1评分高达9.8，目前官方尚未发布修复补丁。

漏洞概述

CVE-2025-65856 是一个位于雄迈 XM530 系列网络摄像机 ONVIF（开放型网络视频接口论坛）协议实现中的身份验证完全绕过漏洞。

攻击者无需任何凭据即可远程访问本应受保护的31个关键设备管理和控制接口，直接泄露实时视频和敏感配置信息。

• CVE编号：CVE-2025-65856
• 危险等级：CRITICAL
• CVSS v3.1评分：9.8
• CVSS向量：AV:N（网络）/AC:L（低复杂度）/PR:N（无需权限）/UI:N（无需交互）/S:U/C:H/I:H/A:H

影响范围

此漏洞影响特定型号和固件版本的设备，但考虑到雄迈作为主要OEM供应商的角色，波及面可能非常广。

• 厂商：杭州雄迈科技有限公司
• 受影响型号/产品：IP Camera XM530V200_X6-WEQ_8M
• 品牌：ANBIUX，以及数以百计的OEM贴牌产品
• 受影响固件：V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06，可能还包括所有 V5.00.R02.* 版本。
• 受影响服务组件：ONVIF Web Service Implementation。

雄迈是全球众多知名摄像头品牌的OEM方案提供商，其设备广泛部署于家庭、商业和工业监控系统中。许多用户可能通过贴牌设备间接受到此漏洞影响。

技术原理分析

漏洞的核心问题在于 ONVIF Web服务实现缺失了必要的身份验证机制，这与ONVIF规范强制性要求背道而驰。

具体来说，问题出现在两个层面。

1. 缺失的WS-Security认证

ONVIF协议依赖Web Services Security (WS-Security)来保障SOAP消息的安全性，进行身份验证和消息完整性校验。

受影响的Xiongmai摄像机ONVIF服务端点虽然支持SOAP请求，但却完全没有验证Security头信息。

标准流程应该是：客户端发送包含用户名令牌（UsernameToken）密码摘要等信息的SOAP请求 → 服务器端验证令牌 → 验证通过后处理请求。

而实际情况是：服务器直接跳过了验证步骤，无论请求中是否包含有效的安全信息，都会执行并响应。这就为攻击者打开了一个无需任何凭据就能自由访问的后门。

2. 受影响的端点

漏洞总共涉及31个关键的ONVIF服务端点，这些端点本应全部要求身份验证。部分示例如下：

• GetDeviceInformation

  ：获取硬件、固件信息。

• GetUsers

  ：枚举用户账户信息。

• GetStreamUri

  ：获取包含认证凭据的RTSP视频流地址。

• GetSnapshotUri

  ：获取快照图片地址。

• GetNetworkInterfaces

  、GetNetworkProtocols：获取网络配置、服务端口。

• GetDNS

  、GetNTP：获取DNS和NTP服务器配置。

• GetPresets

  、GetNodes：获取云台（PTZ）预设和控制信息。

• SetRelayOutputState

  ：控制继电器输出（常用于触发警报）。

• 以及其他22个管理和控制端点。

3. 攻击面

攻击者可针对以下常见服务端口进行探测和利用，过程几乎没有阻碍：

• 常见开放端口：80， 8000， 8080， 8899。
• 没有观测到请求频率限制（Rate Limiting）或防护措施。
• 成千上万台设备直接暴露在互联网上。使用Shodan搜索引擎，通过端口80 "Server: uc-httpd" 或端口8899 "XM"即可找到大量潜在的目标。

此漏洞与另一个漏洞CVE-2025-65857结合，可为攻击者提供一个从信息收集、凭证获取到完整视频流访问的完整武器化攻击链。

漏洞危害与影响

一位未经身份验证的远程攻击者利用此漏洞，可以实现以下操作：

• 访问实时音视频流，观看监控画面。
• 获取完整的设备配置信息，包括网络设置。
• 枚举设备上的所有用户账户及凭证信息。
• 远程控制云台（Pan-Tilt-Zoom）功能，随意移动摄像头视角。
• 操控继电器输出，可能触发或关闭连接的警报系统。
• 进行网络侦查，了解目标网络内部情况。
• 提取RTSP流凭据（配合CVE-2025-65857）。

隐私影响极其严重，直接违反了GDPR等数据隐私法规。攻击者可利用此漏洞发起大规模监控活动。

概念验证

基本的利用方式非常简单。例如，发送一个针对GetDeviceInformation端点的SOAP请求，完全不包含任何认证信息：

curl -X POST http://[CAMERA_IP]:8899/onvif/device_service   -H “Content-Type: application/soap+xml”   -d ‘<?xml version="1.0" encoding="UTF-8"?> ‘

按照标准ONVIF规范，服务器应当返回“认证失败”或类似错误。

但实际上，受此漏洞影响的摄像机会直接返回完整的设备信息，包括制造商、型号、固件版本、序列号等。

完整的PoC可以测试全部31个漏洞端点。研究人员可通过正规渠道申请获取详细测试脚本。

修复建议与缓解措施

目前厂商尚未提供修复补丁。用户必须采取主动措施来保护设备。

针对用户（立即执行）

• 网络隔离

  ：将所有摄像机放置在独立的VLAN（虚拟局域网）中，并禁止该VLAN访问互联网。

• 防火墙规则

  ：在网关或防火墙上，严格阻止从互联网向内网IP摄像机端口80， 8000， 8080， 8899以及RTSP端口554的入站连接请求。

• 禁用ONVIF

  ：检查摄像头管理界面，如果存在关闭ONVIF协议的选项，请立即禁用。这会牺牲部分兼容性，但能消除攻击面。

• VPN-only访问

  ：如果需要远程查看摄像头，务必通过VPN连接到内部网络后再访问，切勿将摄像头Web界面或服务直接暴露于公网。

• 考虑更换设备

  ：鉴于雄迈过去的安全记录和此次事件中厂商沟通失败的情况，对于安全性要求较高的环境，建议评估更换其他品牌的设备。

针对厂商

厂商需要从根本上修复问题，包括但不限于：

• 在所有ONVIF服务端点实施符合ONVIF核心规范要求的WS-Security身份验证。
• 加入请求速率限制和暴力破解防护机制。
• 启用安全日志记录和异常访问告警功能。

时间线

• 2025年11月：安全评估中发现此漏洞。
• 2025年12月16日：MITRE为漏洞分配CVE编号CVE-2025-65856。
• 2025年12月17日：尝试通过官方安全联系邮箱 [email protected] 联系厂商（邮件投递失败，服务器配置错误）。
• 同日：尝试通过备用邮箱 [email protected] 联系（邮件投递同样失败）。
• 2025年12月17日：因无法建立沟通渠道，进行公开披露。

厂商回应：截至公开披露时，未收到任何回复。其官方安全联系渠道似乎无法正常工作。

参考资料

[1] https://luismirandaacebedo.github.io/CVE-2025-65856/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《CVE-2025-65856：雄迈 IP 摄像机的 ONVIF 身份验证完全绕过漏洞》