CRITICAL✓ PATCH🇬🇧 English

CVE-2025-34043

RCE w Vacron NVR v1.4 — command injection przez board.cgi bez uwierzytelnienia

CVSS 10.0v4.0pub. 2025-06-26upd. 2026-04-15

Podatność klasy command injection w rejestratorach sieciowych Vacron NVR v1.4 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych poprzez spreparowane żądania HTTP. Krytyczny poziom zagrożenia wynika z braku wymaganego uwierzytelnienia oraz możliwości pełnego przejęcia kontroli nad urządzeniem.

Pokaż oryginał (EN)

A remote command injection vulnerability exists in Vacron Network Video Recorder (NVR) devices v1.4 due to improper input sanitization in the board.cgi script. The vulnerability allows unauthenticated attackers to pass arbitrary commands to the underlying operating system via crafted HTTP requests. These commands are executed with the privileges of the web server process, enabling remote code execution and potential full device compromise. Exploitation evidence was observed by the Shadowserver Foundation on 2025-02-06 UTC.

🤖 Analiza AI
Jak działa

Skrypt board.cgi obsługujący żądania HTTP nie przeprowadza właściwej sanityzacji danych wejściowych (CWE-20), co pozwala na wstrzykiwanie poleceń systemu operacyjnego (CWE-78). Atakujący wysyła spreparowane żądanie HTTP zawierające złośliwy payload bezpośrednio do podatnego endpointu bez konieczności posiadania jakichkolwiek poświadczeń. Przekazane polecenia są następnie wykonywane z uprawnieniami procesu serwera WWW działającego na urządzeniu.

Skutki

Atakujący może zdalnie wykonać dowolny kod na urządzeniu (RCE) z uprawnieniami procesu serwera WWW, co w praktyce może prowadzić do pełnego przejęcia kontroli nad rejestratorem, utraty dostępności, integralności i poufności przetwarzanych danych, a także potencjalnego wykorzystania urządzenia jako punktu wejścia do sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako dodatkowe środki ochronne zaleca się izolację urządzeń NVR od bezpośredniego dostępu z internetu, umieszczenie ich za firewallem oraz ograniczenie dostępu do interfejsu zarządzania wyłącznie do zaufanych adresów IP.

Kogo dotyczy

Vacron Network Video Recorder (NVR) w wersji v1.4

Uwagi

Zgodnie z opisem, Shadowserver Foundation zaobserwowała dowody aktywnej eksploatacji podatności w dniu 2025-02-06 UTC, jednak pole CISA KEV w metadanych wskazuje wartość NIE — podatność nie figuruje oficjalnie w katalogu CISA KEV na dzień publikacji tej karty.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEAuth BypassCommand Injection
CWE
Referencje