Múltiples vulnerabilidades en DFUSION de Davantis
Fecha de publicación 24/11/2025
Identificador
INCIBE-2025-0661
Importancia
4 - Alta
Recursos Afectados
DFUSION, versiones anteriores a 6.186.1.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades, 1 de severidad alta y 1 de severidad media, que afectan a DFUSION de Davantis, una solución de videoanálisis inteligente. Las vulnerabilidades han sido descubiertas por Ferran Plaza.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-41016: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-862
- CVE-2025-41017: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-862
Solución
Las vulnerabilidades fueron solucionadas por el equipo de Davantis en la versión 6.186.1 en mayo de 2020.
Detalle
- CVE-2025-41016: vulnerabilidad de control de acceso inadecuado en DFUSION de Davantis v6.177.7, que permite a actores no autorizados extraer imágenes y vídeos relacionados con eventos de alarma a través del acceso a ‘/alarms/<ALARM_ID>/<MEDIA>’, el parámetro ‘MEDIA’ puede tomar el valor de “snapshot” o “video.mp4”. Estos archivos multimedia contienen imágenes grabadas por las cámaras de seguridad en respuesta a las alertas activadas.
- CVE-2025-41017: vulnerabilidad de control de acceso inadecuado en DDFUSION de Davantis v6.177.7, que permite a actores no autorizados recuperar parámetros de perspectiva de la configuración de cámaras de seguridad mediante el acceso a ‘/cameras/<CAMERA_ID>/perspective’.
CVE
Explotación
No
Nuevo Fabricante
Davantis
Identificador CVE
CVE-2025-41016
Severidad
Alta
Explotación
No
Nuevo Fabricante
Davantis
Identificador CVE
CVE-2025-41016
Severidad
Alta
Listado de referencias
Etiquetas
