【安全资讯】CVE-2024-42531：Ezviz摄像头漏洞暴露实时视频流

概要：

一项严重漏洞CVE-2024-42531被发现于Ezviz互联网PT摄像头CS-CV246中，CVSS评分高达9.8分（严重）。该漏洞允许未经授权的个人远程访问摄像头的实时视频流，可能导致严重的隐私泄露。

主要内容：

研究人员发现，攻击者可以通过构造一组特制的RTSP（实时流协议）数据包并附带特定URL来利用此漏洞。这些恶意数据包能够有效地劫持摄像头的实时视频流，使攻击者无需任何身份验证即可查看视频内容。RTSP是一种用于娱乐和通信系统中控制流媒体服务器的网络控制协议。通过利用该协议并使用特制的URL，攻击者可以绕过摄像头的安全控制，查看其实时视频流，这可能导致严重的隐私泄露。

CVE-2024-42531的影响尤其显著，特别是对于依赖这些摄像头进行安全监控的用户。未经授权访问实时视频流可能使攻击者监视活动、收集敏感信息，甚至策划物理安全入侵。能够在无需身份验证的情况下劫持摄像头的视频流，严重威胁了受影响设备的整体安全性。

受影响的版本为Ezviz互联网PT摄像头（型号：CS-CV246）（B0-1C1WFR），序列号为D15655150，版本为V5.3.0 build 191225。拥有此型号摄像头的用户被强烈建议立即采取措施保护其隐私和安全。