Vulnerabilidad en Shenzhen Liandian Communication Technology LTD (CVE-2025-7503)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-798 Credenciales embebidas en el software

Fecha de publicación:

11/07/2025

Última modificación:

15/07/2025

Descripción

Una cámara IP OEM fabricada por Shenzhen Liandian Communication Technology LTD expone un servicio Telnet (puerto 23) con credenciales predeterminadas no documentadas. El servicio Telnet está habilitado por defecto y no se divulga ni se puede configurar a través de la interfaz web del dispositivo ni del manual de usuario. Un atacante con acceso a la red puede autenticarse con las credenciales predeterminadas y obtener acceso root al dispositivo. La versión de firmware afectada es AppFHE1_V1.0.6.0 (Kernel: KerFHE1_PTZ_WIFI_V3.1.1, Hardware: HwFHE1_WF6_PTZ_WIFI_20201218). No existe ninguna corrección ni actualización de firmware oficial disponible, y no se pudo contactar con el proveedor. Esta vulnerabilidad permite la ejecución remota de código y la escalada de privilegios.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/U:Red CVSS v4.0 Severidad y Métricas:

Puntuación base: 10.00 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/U:Red

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto
Provider Urgency (U): Rojo

Puntuación base 4.0

10.00

Gravedad 4.0

CRÍTICA

Referencias a soluciones, herramientas e información

https://github.com/AounShAh/Research-on-v380-cctv-ip-camera