# HIKVISION 流媒体管理服务器 user.xml 账号密码泄漏漏洞

# 漏洞描述

HIKVISION 流媒体管理服务器配置文件未做鉴权，攻击者通过漏洞可以获取网站账号密码

# 漏洞影响

HIKVISION 流媒体管理服务器

# 网络测绘

"杭州海康威视系统技术有限公司版权所有"

# 漏洞复现

登陆页面

验证POC

/config/user.xml

1

图中账号密码为base64加密

HIKVISION 视频编码设备接入网关 showFile.php 任意文件下载漏洞 HIKVISION 流媒体管理服务器后台任意文件读取漏洞 CNVD-2021-14544