Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu kamery Vivotek IP7137 i koordynował proces ujawniania informacji.
Podatność CVE-2025-66049: Kamera Vivotek IP7137 umożliwia dostęp do obrazu na żywo za pośrednictwem protokołu RTSP na porcie 8554 bez uwierzytelnienia. Pozwala to nieuprawnionym użytkownikom z dostępem sieciowym do kamery na podgląd obrazu, co może prowadzić do naruszenia prywatności i bezpieczeństwa użytkownika.
Podatność CVE-2025-66050: Kamera Vivotek IP7137 domyślnie nie wymaga podania hasła podczas logowania na konto administratora. Chociaż możliwe jest ustawienie takiego hasła, użytkownik nie jest informowany o konieczności jego konfiguracji.
Podatność CVE-2025-66051: Kamera Vivotek IP7137 jest podatna na atak typu path traversal. Uwierzytelniony atakujący może uzyskać dostęp do zasobów znajdujących się poza katalogiem webroot przy użyciu bezpośredniego żądania HTTP.
Podatność CVE-2025-66052: Kamera Vivotek IP7137 jest podatna na atak typu command injection. Parametr system_ntpIt wykorzystywany przez endpoint /cgi-bin/admin/setparam.cgi nie jest odpowiednio filtrowany, co umożliwia użytkownikowi z uprawnieniami administratora przeprowadzenie ataku.
Producent nie odpowiedział na zgłoszenie CNA. Możliwe, iż podatność dotyczy wszystkich wersji systemu układowego (testowana wersja to 0200a). Ponieważ produkt osiągnął fazę End-Of-Life, nie należy oczekiwać wydania poprawki.
Podziękowania
Za zgłoszenie podatności dziękujemy Szymonowi Paszunowi.
