Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-11528

Опубликовано: 01 июл. 2025
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Низкий

Описание

Уязвимость компонента Search.cgi?action=cgi_query микропрограммного обеспечения цифровых видеорегистраторов Avtech, связанная с недостаточной проверкой входных данных при обработке параметров username или queryb64str. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

AVTECH SECURITY Corporation

Наименование ПО

DVR

Версия ПО

- (DVR)

Тип ПО

Микропрограммный код

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 10)
Критический уровень опасности (оценка CVSS 4.0 составляет 10)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://web.archive.org/web/20161029201749/https://github.com/ebux/AVTECH
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- изменение пароля администратора по умолчанию.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 50%
0.00271
Низкий

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-34054

nvd
7 месяцев назад

An unauthenticated command injection vulnerability exists in AVTECH DVR devices via Search.cgi?action=cgi_query. The use of wget without input sanitization allows attackers to inject shell commands through the username or queryb64str parameters, executing commands as root. Exploitation evidence was observed by the Shadowserver Foundation on 2025-01-04 UTC.

github логотип

GHSA-5r56-hjhv-6gr3

github
7 месяцев назад

An unauthenticated command injection vulnerability exists in AVTECH DVR devices via Search.cgi?action=cgi_query. The use of wget without input sanitization allows attackers to inject shell commands through the username or queryb64str parameters, executing commands as root.

EPSS

Процентиль: 50%
0.00271
Низкий

10 Critical

CVSS3

10 Critical

CVSS2