Vulnerabilidad en AVTECH IP camera, DVR, y NVR (CVE-2025-34056)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
01/07/2025
Última modificación:
03/07/2025
Descripción
Existe una vulnerabilidad de inyección de comandos del sistema operativo en AVTECH IP camera, DVR, y NVR a través del endpoint PwdGrp.cgi, que gestiona las operaciones de administración de usuarios y grupos. Los usuarios autenticados pueden proporcionar información mediante los parámetros pwd o grp, que se integran directamente en los comandos del sistema sin la debida autorización. Esto permite la ejecución de comandos de shell arbitrarios con privilegios de root.
Impacto
Puntuación base 4.0
9.40
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://avtech.com/
- https://vulncheck.com/advisories/avtech-ipcamera-nvr-dvr-mulitple-vulns
- https://web.archive.org/web/20161029201749/https://github.com/ebux/AVTECH
- https://web.archive.org/web/20240810225729/https://www.search-lab.hu/advisories/126-AVTech-devices-multiple-vulnerabilities
- https://www.exploit-db.com/exploits/40500