Vulnerabilidad en LILIN Digital Video Recorder (CVE-2025-34129)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

16/07/2025

Última modificación:

17/07/2025

Descripción

Existe una vulnerabilidad de inyección de comandos en los dispositivos LILIN Digital Video Recorder (DVR) anteriores a la versión de firmware 2.0b60_20200207 debido a una depuración insuficiente de los campos del servidor FTP y NTP en la configuración del servicio. Un atacante con acceso a la interfaz de configuración puede cargar un archivo XML malicioso con comandos de shell inyectados en estos campos. Tras sincronizaciones de configuración posteriores, estos comandos se ejecutan con privilegios elevados. Esta vulnerabilidad fue explotada por las botnets Moobot.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.70 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.70

Gravedad 4.0

ALTA

Vulnerabilidad en LILIN Digital Video Recorder (CVE-2025-34129)

Descripción

Impacto

Referencias a soluciones, herramientas e información