CRITICAL🇬🇧 English

CVE-2025-57432

Blackmagic Web Presenter — nieuwierzytelniony dostęp do usługi Telnet

CVSS 9.8v3.1pub. 2025-09-22upd. 2025-10-14

Blackmagic Web Presenter w wersji 3.3 udostępnia usługę Telnet na porcie 9977, która nie wymaga żadnego uwierzytelnienia. Zdalny atakujący może bez podawania danych logowania wydawać polecenia wpływające na działanie urządzenia.

Pokaż oryginał (EN)

Blackmagic Web Presenter version 3.3 exposes a Telnet service on port 9977 that accepts unauthenticated commands. This service allows remote attackers to manipulate stream settings, including changing video modes and possibly altering device functionality. No credentials or authentication mechanisms are required to interact with the Telnet interface.

🤖 Analiza AI
Jak działa

Usługa Telnet nasłuchująca na porcie 9977 akceptuje polecenia od dowolnego klienta sieciowego bez weryfikacji tożsamości (brak mechanizmu uwierzytelniania — CWE-306). Atakujący nawiązuje połączenie z usługą przez sieć i wydaje komendy bezpośrednio do interfejsu zarządzania urządzeniem. Nie są wymagane żadne poświadczenia ani wcześniejszy dostęp do systemu.

Skutki

Atakujący może zdalnie manipulować ustawieniami strumienia wideo, zmieniać tryby wideo oraz potencjalnie modyfikować funkcjonalność urządzenia, co może prowadzić do zakłócenia lub przejęcia kontroli nad transmisjami wideo.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się zablokowanie dostępu do portu 9977 TCP na poziomie firewall oraz izolację urządzeń w odrębnym segmencie sieci niedostępnym z Internetu.

Kogo dotyczy

Blackmagic Web Presenter HD oraz Blackmagic Web Presenter 4K z oprogramowaniem układowym w wersji 3.3

Uwagi

Podatność została opublikowana w repozytorium badacza bezpieczeństwa pod adresem: https://github.com/shiky8/my--cve-vulnerability-research/tree/main/CVE-2025-57432

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Blackmagicdesign Web Presenter 4k

    HW
    Blackmagicdesign
    wszystkie wersje
  • Blackmagicdesign Web Presenter 4k Firmware

    OS
    Blackmagicdesign
    3.3
  • Blackmagicdesign Web Presenter Hd

    HW
    Blackmagicdesign
    wszystkie wersje
  • Blackmagicdesign Web Presenter Hd Firmware

    OS
    Blackmagicdesign
    3.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-57437CRITICAL9.8PL ✓ten sam produkt

Blackmagic Web Presenter HD — ujawnienie wrażliwych danych przez nieuwierzytelniony Telnet

CVE-2025-57441CRITICAL9.8PL ✓ten sam vendor

Blackmagic ATEM Mini Pro – ujawnienie konfiguracji przez nieuwierzytelniony Telnet

CVE-2021-40417CRITICAL9.8ten sam vendor

When parsing a file that is submitted to the DPDecoder service as a job, the service will use the combination ...

CVE-2021-40418CRITICAL9.8ten sam vendor

When parsing a file that is submitted to the DPDecoder service as a job, the R3D SDK will mistakenly skip over...