Vulnerabilidad de inyección de comandos en productos de SystemK
Las siguientes versiones de NVR de SystemK, un grabador de vídeo en red, están afectadas:
- NVR 504: 2.3.5SK.30084998.
- NVR 508: 2.3.5SK.30084998.
- NVR 516: 2.3.5SK.30084998.
CISA descubrió una prueba de concepto (PoC) pública de la que es autor Keniver Wang, a partir de la cual documentó una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante ejecutar comandos con privilegios de root.
El fabricante no ha respondido a las peticiones de trabajar con CISA para mitigar esta vulnerabilidad. Se invita a los usuarios de las versiones afectadas de los productos NVR de SystemK a ponerse en contacto con el servicio de atención al cliente de SystemK para obtener información adicional.
Las versiones 2.3.5SK.30084998 y anteriores de SystemK NVR 504/508/516 son vulnerables a una vulnerabilidad de inyección de comandos en la configuración del sistema dinámico de nombres de dominio (DDNS), que podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root.
Se ha asignado el identificador CVE-2023-7227 para esta vulnerabilidad.