Vulnerabilidad en Beward N100 IP Camera (CVE-2025-34042)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

26/06/2025

Última modificación:

20/11/2025

Descripción

Existe una vulnerabilidad de inyección de comandos autenticados en la versión de firmware M2.1.6.04C014 de Beward N100 IP Camera a través de los parámetros ServerName y TimeZone en la página CGI de Servetest. Un atacante con acceso a la interfaz web puede inyectar comandos arbitrarios del sistema en estos parámetros, que se integran de forma insegura en las llamadas del sistema backend sin la debida limpieza de entrada. Una explotación exitosa resulta en la ejecución remota de código con privilegios de root.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.40 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0

9.40

Gravedad 4.0

CRÍTICA

Vulnerabilidad en Beward N100 IP Camera (CVE-2025-34042)

Descripción

Impacto

Referencias a soluciones, herramientas e información