Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu kamer Vilar VS-IPC1002 i koordynował proces ujawniania informacji.
Podatność CVE-2025-53701: Kamery IP Vilar VS-IPC1002 są podatne na ataki typu Reflected XSS (Cross-site Scripting), ponieważ parametry w zapytaniach GET wysyłanych do endpointu /cgi-bin/action nie są odpowiednio oczyszczane. Umożliwia to atakowanie zalogowanych użytkowników z uprawnieniami administratora.
Podatność CVE-2025-53702: Kamery IP Vilar VS-IPC1002 są podatne na ataki typu DoS (Denial-of-Service). Nieuwierzytelniony atakujący znajdujący się w tej samej sieci lokalnej może wysłać spreparowane żądanie do endpointu /cgi-bin/action, co powoduje całkowitą niedostępność urządzenia. Wymagany jest ręczny restart kamery.
Producent nie udzielił żadnej odpowiedzi. Przetestowano jedynie wersję 1.1.0.18 - inne wersje również mogą być podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Szymonowi Paszunowi.
