CVE-2025-30133
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
28/07/2025
Última modificación:
06/11/2025
Descripción
Se detectó un problema en IROAD Dashcam FX2 devices. Es posible que se omita el emparejamiento/registro del dispositivo. Requiere el registro del dispositivo mediante la aplicación "IROAD X View" para la autenticación, pero su servidor HTTP no tiene esta restricción. Una vez conectado a la red Wi-Fi de la cámara de salpicadero con la contraseña predeterminada ("qwertyuiop"), un atacante puede acceder directamente al servidor HTTP en http://192.168.10.1 sin realizar el proceso de emparejamiento. Además, no se activa ninguna alerta en el dispositivo cuando un atacante se conecta, lo que hace que esta intrusión sea completamente silenciosa.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:iroadau:fx2_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:iroadau:fx2:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/geo-chen/IROAD/blob/main/README.md#finding-12---cve-2025-30133-unprotected-url-shortcut
- https://github.com/geo-chen/IROAD?tab=readme-ov-file#finding-7-bypass-of-device-pairingregistration-for-iroad-fx2
- https://www.iroadau.com.au/downloads/
- https://github.com/geo-chen/IROAD?tab=readme-ov-file#finding-7-bypass-of-device-pairingregistration-for-iroad-fx2