Vulnerabilidad en Vacron Network Video Recorder (CVE-2025-34043)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
26/06/2025
Última modificación:
23/12/2025
Descripción
Existe una vulnerabilidad de inyección remota de comandos en los dispositivos Vacron Network Video Recorder (NVR) v1.4 debido a una depuración incorrecta de la entrada en el script board.cgi. Esta vulnerabilidad permite a atacantes no autenticados enviar comandos arbitrarios al sistema operativo subyacente mediante solicitudes HTTP manipuladas. Estos comandos se ejecutan con los privilegios del proceso del servidor web, lo que permite la ejecución remota de código y la posible vulneración total del dispositivo.
Impacto
Puntuación base 4.0
10.00
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://ssd-disclosure.com/ssd-advisory-vacron-nvr-remote-command-execution/
- https://vulncheck.com/advisories/vacron-nvr-remote-command-execution
- https://www.broadcom.com/support/security-center/attacksignatures/detail?asid=30386
- https://www.sonicwall.com/blog/vacron-network-video-recorder-remote-command-execution
- https://www.tenable.com/plugins/nessus/104124
- https://www.vacron.com/
- https://ssd-disclosure.com/ssd-advisory-vacron-nvr-remote-command-execution/