CRITICAL🇬🇧 English

CVE-2025-66050

Vivotek IP7137: brak wymaganego hasła administratora (domyślnie)

CVSS 9.3v4.0pub. 2026-01-09upd. 2026-01-14

Kamera Vivotek IP7137 z firmware w wersji 0200a domyślnie nie wymaga podania hasła podczas logowania na konto administratora. Jest to szczególnie groźne, ponieważ urządzenie nie informuje użytkownika o konieczności ustawienia hasła, a producent nie planuje wydania poprawki ze względu na osiągnięcie statusu End-of-Life.

Pokaż oryginał (EN)

Vivotek IP7137 camera with firmware version 0200a by default dos not require to provide any password when logging in as an administrator. While it is possible to set up such a password, a user is not informed about such a need. The vendor has not replied to the CNA. Possibly all firmware versions are affected. Since the product has met End-Of-Life phase, a fix is not expected to be released.

🤖 Analiza AI
Jak działa

Domyślna konfiguracja firmware umożliwia logowanie na konto administratora bez podawania jakiegokolwiek hasła. Choć interfejs pozwala na ustawienie hasła, użytkownik nie jest w żaden sposób informowany o tej potrzebie ani monitowany o jego skonfigurowanie. W rezultacie urządzenia wystawione na dostęp sieciowy pozostają niezabezpieczone, a atakujący z dostępem do sieci może uzyskać pełne uprawnienia administratorskie bez jakiejkolwiek autoryzacji.

Skutki

Nieuwierzytelniony atakujący zdalnie uzyskuje pełny dostęp administracyjny do kamery, co umożliwia przejęcie kontroli nad urządzeniem, manipulację strumieniem wideo, zmianę konfiguracji lub wykorzystanie kamery jako punktu wejścia do dalszych działań w sieci.

Mitygacja

Producent nie odpowiedział na zgłoszenie i nie planuje wydania poprawki ze względu na status End-of-Life produktu. Zaleca się natychmiastowe ręczne ustawienie silnego hasła administratora w interfejsie urządzenia, izolację kamer od sieci publicznej (np. za pomocą firewall lub dedykowanego segmentu VLAN), a docelowo wymianę urządzenia na wspierany model. Należy skonsultować się z referencjami producenta oraz publikacją CERT Polska.

Kogo dotyczy

Vivotek IP7137 z firmware w wersji 0200a; według opisu możliwe, że problem dotyczy wszystkich wersji firmware. Produkt osiągnął status End-of-Life.

Uwagi

Producent nie odpowiedział na zgłoszenie CNA. Produkt osiągnął fazę End-of-Life — naprawa nie zostanie wydana. Szczegóły techniczne opublikował CERT Polska pod adresem https://cert.pl/posts/2026/01/CVE-2025-66049.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Vivotek Ip7137

    HW
    Vivotek
    wszystkie wersje
  • Vivotek Ip7137 Firmware

    OS
    Vivotek
    0200a
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-66049HIGH8.7ten sam produkt

Vivotek IP7137 camera with firmware version 0200a is vulnerable to an information disclosure issue where live ...

CVE-2025-66052HIGH8.6ten sam produkt

Vivotek IP7137 camera with firmware version 0200a is vulnerable to command injection. Parameter "system_ntpIt"...

CVE-2025-66051MEDIUM6.9ten sam produkt

Vivotek IP7137 camera with firmware version 0200a is vulnerable to path traversal. It is possible for an authe...

CVE-2024-26548CRITICAL9.8PL ✓ten sam vendor

RCE w Vivotek Network Camera poprzez komponent upload_file.cgi

CVE-2013-1595CRITICAL9.8ten sam vendor

A Buffer Overflow vulnerability exists in Vivotek PT7135 IP Camera 0300a and 0400a via a specially crafted pac...

CVE-2025-66050 — Vivotek IP7137: brak wymaganego hasła administratora (domyślnie) — CRITICAL 9.3 | CVEbaza.pl