Ncast盈可视 高清智能录播系统 IPSetup.php信息泄露+RCE漏洞复现(CVE-2024-0305)

0x01 产品简介

Ncast盈可视 高清智能录播系统是广州盈可视电子科技有限公司一种先进的音视频录制和播放解决方案，旨在提供高质量、高清定制的录播体验。该系统采用先进的摄像和音频技术，结合强大的软件平台，可以实现高清视频录制、多路音频采集、实时切换和混音、定制视频分析等功能。

0x02 漏洞概述

广州盈可视电子科技有限公司  高清智能录播系统可通过访客身份未授权访问/manage/IPSetup.php后台功能模块，攻击者可以利用该漏洞查看后台配置信息造成信息泄露，使用网络诊断功能模块可实现未授权远程命令执行，导致服务器失陷被控。

0x03 影响范围

Guangzhou Yingke Electronic Technology Ncast 2017

Guangzhou Yingke Electronic Technology Ncast 2007

0x04 复现环境

FOFA：app="Ncast-产品" && title=="高清智能录播系统"

0x05 漏洞复现

访问首页，使用访客身份登录