Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en AVTECH IP camera, DVR, y NVR (CVE-2025-34056)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
01/07/2025
Última modificación:
03/07/2025

Descripción

Existe una vulnerabilidad de inyección de comandos del sistema operativo en AVTECH IP camera, DVR, y NVR a través del endpoint PwdGrp.cgi, que gestiona las operaciones de administración de usuarios y grupos. Los usuarios autenticados pueden proporcionar información mediante los parámetros pwd o grp, que se integran directamente en los comandos del sistema sin la debida autorización. Esto permite la ejecución de comandos de shell arbitrarios con privilegios de root.