TP-Link VIGI 摄像头出现严重漏洞,可被远程接管监控系统
HackerNews 编译,转载请注明出处: TP-Link 已修复一个严重漏洞,该漏洞影响 32 款以上的 VIGI C 和 VIGI InSight 系列摄像头,可能导致监控系统被远程入侵。研究人员发现,互联网上至少有 2,500 台此类设备直接暴露在公网环境中。 此次漏洞被编号为 CVE-2026-0629,CVSS 评分为 8.7(高危),影响 32 款以上的 VIGI C 与 VIGI InSight 摄像头型号。该漏洞允许位于同一局域网内的攻击者滥用密码恢复功能绕过身份认证,直接重置管理员密码,从而完全控制摄像头。 安全公告指出:“VIGI 摄像头本地 Web 管理界面的密码恢复功能存在身份验证绕过问题。攻击者可通过操纵客户端状态,在无需任何验证的情况下重置管理员密码。”公告还称:“攻击者能够获得设备的完整管理权限,进而危及系统配置和网络安全。” TP-Link 的 VIGI 摄像头属于专业视频监控产品,面向商业和企业用户,而非家庭消费级市场。 该漏洞由 Redinent Innovations 的研究人员 Arko Dhar 披露。他在接受 SecurityWeek 采访时表示,攻击者可以远程利用这一漏洞,并且在 2025 年 10 月,他仅针对其中一款型号进行扫描,就发现有超过 2,500 台存在漏洞的摄像头直接暴露在互联网上。他强调,由于只检测了单一型号,实际受影响设备数量可能远高于这一数字。 一旦 TP-Link VIGI 摄像头遭到入侵,可能带来严重后果,包括:实时与历史视频内容被窃取、对人员和场所进行监控与间谍活动、协助实施物理入侵、作为跳板横向渗透企业内网、被纳入僵尸网络用于 DDoS 攻击、篡改监控证据、干扰业务运营,以及因侵犯隐私而引发法律和监管风险。 消息来源:securityaffairs; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文