motionEye v0.43.1b4 发现严重远程代码执行漏洞（CVE 待分配）

motionEye 监控软件发现严重远程代码执行漏洞

安全研究人员近日在流行的开源视频监控系统 motionEye v0.43.1b4 中发现了一个严重的**未授权远程代码执行（RCE）**漏洞。该漏洞通过 Exploit-DB 披露，攻击者无需身份验证即可在易受攻击的系统上执行任意命令，对相关部署构成重大安全风险。

技术细节

该漏洞存在于 motionEye 的 Web 界面中，由于输入验证不当，攻击者可通过精心构造的 HTTP 请求注入恶意负载。虽然在 CVE 编号分配前具体技术细节仍然有限，但该漏洞利用了应用程序在处理用户提供数据时的弱点，可能导致系统完全被攻陷。

主要攻击向量包括：

• 未授权访问：无需凭据即可利用该漏洞。
• 远程利用：攻击者可通过网络触发漏洞。
• 权限提升风险：成功利用后可能获得 root 级别访问权限。

影响分析

motionEye 广泛用于家庭和企业监控，常部署在 基于 Linux 的系统（如 Raspberry Pi）上。该 RCE 漏洞使受影响的实例面临以下风险：

• 未授权系统控制：攻击者可执行命令、安装恶意软件或渗透内部网络。
• 数据泄露：敏感监控画面或系统文件可能被窃取。
• 僵尸网络招募：被攻陷的设备可能被用于 DDoS 攻击或加密货币挖矿。

建议措施

1. 立即修补：关注 motionEye GitHub 仓库 的更新，并在修复程序发布后立即应用。
2. 网络隔离：在修补前将 motionEye 实例与关键基础设施隔离。
3. 访问控制：通过防火墙或 VPN 限制对 Web 界面的网络访问。
4. 监控：部署入侵检测系统（IDS）以检测漏洞利用尝试。

安全团队应优先进行修复，因概念验证（PoC）漏洞利用代码可能很快出现。预计将很快分配 CVE 标识符，以便正式跟踪和漏洞管理。

原始漏洞利用详情：Exploit-DB #52481