Blackmagic Web Presenter w wersji 3.3 udostępnia usługę Telnet na porcie 9977, która nie wymaga żadnego uwierzytelnienia. Zdalny atakujący może bez podawania danych logowania wydawać polecenia wpływające na działanie urządzenia.
▸ Pokaż oryginał (EN)
Blackmagic Web Presenter version 3.3 exposes a Telnet service on port 9977 that accepts unauthenticated commands. This service allows remote attackers to manipulate stream settings, including changing video modes and possibly altering device functionality. No credentials or authentication mechanisms are required to interact with the Telnet interface.
Usługa Telnet nasłuchująca na porcie 9977 akceptuje polecenia od dowolnego klienta sieciowego bez weryfikacji tożsamości (brak mechanizmu uwierzytelniania — CWE-306). Atakujący nawiązuje połączenie z usługą przez sieć i wydaje komendy bezpośrednio do interfejsu zarządzania urządzeniem. Nie są wymagane żadne poświadczenia ani wcześniejszy dostęp do systemu.
Atakujący może zdalnie manipulować ustawieniami strumienia wideo, zmieniać tryby wideo oraz potencjalnie modyfikować funkcjonalność urządzenia, co może prowadzić do zakłócenia lub przejęcia kontroli nad transmisjami wideo.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się zablokowanie dostępu do portu 9977 TCP na poziomie firewall oraz izolację urządzeń w odrębnym segmencie sieci niedostępnym z Internetu.
Blackmagic Web Presenter HD oraz Blackmagic Web Presenter 4K z oprogramowaniem układowym w wersji 3.3
Podatność została opublikowana w repozytorium badacza bezpieczeństwa pod adresem: https://github.com/shiky8/my--cve-vulnerability-research/tree/main/CVE-2025-57432
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HBlackmagicdesign Web Presenter 4k
HWBlackmagicdesignwszystkie wersjeBlackmagicdesign Web Presenter 4k Firmware
OSBlackmagicdesign3.3Blackmagicdesign Web Presenter Hd
HWBlackmagicdesignwszystkie wersjeBlackmagicdesign Web Presenter Hd Firmware
OSBlackmagicdesign3.3
Powiązane podatności
Blackmagic Web Presenter HD — ujawnienie wrażliwych danych przez nieuwierzytelniony Telnet
Blackmagic ATEM Mini Pro – ujawnienie konfiguracji przez nieuwierzytelniony Telnet
When parsing a file that is submitted to the DPDecoder service as a job, the service will use the combination ...
When parsing a file that is submitted to the DPDecoder service as a job, the R3D SDK will mistakenly skip over...