Kamera IP Edimax IC-7100 nie filtruje poprawnie przychodzących żądań sieciowych, co umożliwia nieuprzywilejowanemu atakującemu zdalne wykonanie kodu (RCE) na urządzeniu. Podatność jest aktywnie wykorzystywana w atakach i figuruje w katalogu CISA KEV.
▸ Pokaż oryginał (EN)
Edimax IC-7100 does not properly neutralize requests. An attacker can create specially crafted requests to achieve remote code execution on the device
Urządzenie Edimax IC-7100 nie neutralizuje właściwie danych zawartych w przychodzących żądaniach sieciowych (CWE-78 – OS command injection). Atakujący może spreparować specjalnie skonstruowane żądanie i przesłać je do urządzenia bez jakiegokolwiek uwierzytelnienia. Wstrzyknięte polecenia są następnie wykonywane z uprawnieniami procesu obsługującego żądanie na poziomie systemu operacyjnego urządzenia.
Atakujący uzyskuje możliwość zdalnego wykonania dowolnego kodu (RCE) na urządzeniu bez potrzeby posiadania jakichkolwiek poświadczeń, co może skutkować pełnym przejęciem kontroli nad kamerą, jej rekonfiguracją lub włączeniem do botnetu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. W przypadku braku dostępnej aktualizacji CISA zaleca izolację urządzenia od sieci publicznej, umieszczenie go za firewall oraz ograniczenie dostępu sieciowego do minimum. Szczegółowe zalecenia zawiera poradnik ICSA-25-063-08.
Urządzenia Edimax IC-7100 wraz z oprogramowaniem układowym (firmware). Szczegółowe wersje firmware wskazano w poradniku CISA ICS-CERT ICSA-25-063-08.
Podatność została ujęta w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystywanie jej w środowiskach produkcyjnych. Poradnik ICS-CERT: ICSA-25-063-08 (opublikowany przez CISA).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XEdimax Ic 7100
HWEdimaxwszystkie wersjeEdimax Ic 7100 Firmware
OSEdimaxwszystkie wersje
CISA KEV — szczegółyi
- Dostawcai
- Edimax
- Produkti
- IC-7100 IP Camera
- Data dodania do KEVi
- 19 marca 2025
- Termin remediation (USA)i
- 9 kwietnia 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Kamera IP Edimax IC-7100 zawiera lukę OS command injection spowodowaną niewystarczającą walidacją danych wejściowych, która umożliwia atakującemu uzyskanie dostępu poprzez zdalne wykonanie kodu (RCE) za pośrednictwem specjalnie spreparowanych żądań. Produkt może być objęty końcem życia (EoL) i/lub końcem wsparcia (EoS). Użytkownicy powinni wstrzymać użytkowanie produktu.
▸ Pokaż oryginał (EN)
Edimax IC-7100 IP camera contains an OS command injection vulnerability due to improper input sanitization that allows an attacker to achieve remote code execution via specially crafted requests. The impacted product could be end-of-life (EoL) and/or end-of-service (EoS). Users should discontinue product utilization.
Powiązane podatności
Edimax GS-5008PL — pominięcie uwierzytelnienia w interfejsie zarządzania
RCE bez uwierzytelnienia w Edimax EW-7438RPn Mini przez endpoint /goform/mp
Command Injection w Edimax BR-6208AC — wykonanie dowolnego kodu
Command injection w Edimax EW-7438RPn Mini — wykonanie poleceń jako root
OS Command Injection w Edimax EW-7438RPn Mini — wykonanie poleceń jako root