Podatność klasy command injection w rejestratorach sieciowych Vacron NVR v1.4 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych poprzez spreparowane żądania HTTP. Krytyczny poziom zagrożenia wynika z braku wymaganego uwierzytelnienia oraz możliwości pełnego przejęcia kontroli nad urządzeniem.
▸ Pokaż oryginał (EN)
A remote command injection vulnerability exists in Vacron Network Video Recorder (NVR) devices v1.4 due to improper input sanitization in the board.cgi script. The vulnerability allows unauthenticated attackers to pass arbitrary commands to the underlying operating system via crafted HTTP requests. These commands are executed with the privileges of the web server process, enabling remote code execution and potential full device compromise. Exploitation evidence was observed by the Shadowserver Foundation on 2025-02-06 UTC.
Skrypt board.cgi obsługujący żądania HTTP nie przeprowadza właściwej sanityzacji danych wejściowych (CWE-20), co pozwala na wstrzykiwanie poleceń systemu operacyjnego (CWE-78). Atakujący wysyła spreparowane żądanie HTTP zawierające złośliwy payload bezpośrednio do podatnego endpointu bez konieczności posiadania jakichkolwiek poświadczeń. Przekazane polecenia są następnie wykonywane z uprawnieniami procesu serwera WWW działającego na urządzeniu.
Atakujący może zdalnie wykonać dowolny kod na urządzeniu (RCE) z uprawnieniami procesu serwera WWW, co w praktyce może prowadzić do pełnego przejęcia kontroli nad rejestratorem, utraty dostępności, integralności i poufności przetwarzanych danych, a także potencjalnego wykorzystania urządzenia jako punktu wejścia do sieci.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako dodatkowe środki ochronne zaleca się izolację urządzeń NVR od bezpośredniego dostępu z internetu, umieszczenie ich za firewallem oraz ograniczenie dostępu do interfejsu zarządzania wyłącznie do zaufanych adresów IP.
Vacron Network Video Recorder (NVR) w wersji v1.4
Zgodnie z opisem, Shadowserver Foundation zaobserwowała dowody aktywnej eksploatacji podatności w dniu 2025-02-06 UTC, jednak pole CISA KEV w metadanych wskazuje wartość NIE — podatność nie figuruje oficjalnie w katalogu CISA KEV na dzień publikacji tej karty.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X