【漏洞对象】海康威视视频监控 【涉及版本】Hikvision DS-2CD2xx2F-I系列V5.2.0版本140721至V5.4.0版本160530，DS-2CD2xx0F-I系列V5.2.0版本140721至V5.4.0版本160160，DS-2CD2xx2FWD系列V5 【漏洞描述】 海康威视视频监控API包括对私有HikCGI协议的支持，该协议通过摄像头的web界面公开URI端点。HikCGI协议处理程序检查查询字符串中名为“auth”的参数是否存在，如果该参数包含base64编码的“user:password”的字符串，则HikCGI API协议调用伪装的用户身份，密码将被忽略。该漏洞可以直接获取用户密码配置和截图。

一、建议用户立即从互联网或不受信任的网络升级或断开所有海康威视产品，或者至少实施网络访问控制规则，只允许信任IP地址发起与易受攻击设备的连接。 二、升级至新版本。