Kamera Vivotek IP7137 z firmware w wersji 0200a domyślnie nie wymaga podania hasła podczas logowania na konto administratora. Jest to szczególnie groźne, ponieważ urządzenie nie informuje użytkownika o konieczności ustawienia hasła, a producent nie planuje wydania poprawki ze względu na osiągnięcie statusu End-of-Life.
▸ Pokaż oryginał (EN)
Vivotek IP7137 camera with firmware version 0200a by default dos not require to provide any password when logging in as an administrator. While it is possible to set up such a password, a user is not informed about such a need. The vendor has not replied to the CNA. Possibly all firmware versions are affected. Since the product has met End-Of-Life phase, a fix is not expected to be released.
Domyślna konfiguracja firmware umożliwia logowanie na konto administratora bez podawania jakiegokolwiek hasła. Choć interfejs pozwala na ustawienie hasła, użytkownik nie jest w żaden sposób informowany o tej potrzebie ani monitowany o jego skonfigurowanie. W rezultacie urządzenia wystawione na dostęp sieciowy pozostają niezabezpieczone, a atakujący z dostępem do sieci może uzyskać pełne uprawnienia administratorskie bez jakiejkolwiek autoryzacji.
Nieuwierzytelniony atakujący zdalnie uzyskuje pełny dostęp administracyjny do kamery, co umożliwia przejęcie kontroli nad urządzeniem, manipulację strumieniem wideo, zmianę konfiguracji lub wykorzystanie kamery jako punktu wejścia do dalszych działań w sieci.
Producent nie odpowiedział na zgłoszenie i nie planuje wydania poprawki ze względu na status End-of-Life produktu. Zaleca się natychmiastowe ręczne ustawienie silnego hasła administratora w interfejsie urządzenia, izolację kamer od sieci publicznej (np. za pomocą firewall lub dedykowanego segmentu VLAN), a docelowo wymianę urządzenia na wspierany model. Należy skonsultować się z referencjami producenta oraz publikacją CERT Polska.
Vivotek IP7137 z firmware w wersji 0200a; według opisu możliwe, że problem dotyczy wszystkich wersji firmware. Produkt osiągnął status End-of-Life.
Producent nie odpowiedział na zgłoszenie CNA. Produkt osiągnął fazę End-of-Life — naprawa nie zostanie wydana. Szczegóły techniczne opublikował CERT Polska pod adresem https://cert.pl/posts/2026/01/CVE-2025-66049.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XVivotek Ip7137
HWVivotekwszystkie wersjeVivotek Ip7137 Firmware
OSVivotek0200a
Powiązane podatności
Vivotek IP7137 camera with firmware version 0200a is vulnerable to an information disclosure issue where live ...
Vivotek IP7137 camera with firmware version 0200a is vulnerable to command injection. Parameter "system_ntpIt"...
Vivotek IP7137 camera with firmware version 0200a is vulnerable to path traversal. It is possible for an authe...
RCE w Vivotek Network Camera poprzez komponent upload_file.cgi
A Buffer Overflow vulnerability exists in Vivotek PT7135 IP Camera 0300a and 0400a via a specially crafted pac...