Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-16222

Опубликовано: 30 мая 2025
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость веб-интерфейса микропрограммного обеспечения IP-камер Avtech связана с непринятием мер по очистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Вендор

AVTECH SECURITY Corporation

Наименование ПО

DGM1104
AVM1203
AVM2200
AVM2200T
AVM2220
AVM2220SE
AVM2220T
AVM301
AVM302A
AVM302B
AVM303
AVM311
AVM311A
AVM317B
AVM328B
AVM328D
AVM357A
AVM357B
AVM358C
AVM359A
AVM3650L
AVM365A
AVM365B
AVM400B
AVM401
AVM402
AVM403
AVM403J
AVM411
AVM417A
AVM420S
AVM420U
AVM420U-NWIR
AVM428D
AVM457A
AVM458C
AVM458J
AVM459B
AVM459C
AVM459J
AVM515
AVM526
AVM557A
AVM565A
AVM807C
AVM808A
AVN2503
AVN305A
AVN320
AVN320LA
AVN420
AVN701EZ
AVN803EZ
AVN808
AVN815EZ
DGM1104A
DGM1104QS
DGM1104QSSE
DGM1105
DGM1105AQS
DGM1105QS
DGM1304
DGM1304AQSSE
DGM1304QS
DGM1306QS
DGM2103SV
DGM2203SV
DGM2203SVSE
DGM2323
DGM2403ASVSSE
DGM2403ASVWSE
DGM2443SVSE
DGM2603SVS
DGM2603SVW
DGM2643SV
AVC704H
AVC704HEZ
AVC706H
AVC706HEZ
AVC708H
AVC708HEZ
AVC792D
AVC792DEZ
AVC792HA
AVC796HA
AVC796HAEZ
AVC798HA
AVC798HAEZ
KPD675D
KPD675DEZ
KPD675HA
KPD675HAEZ
KPD677D
KPD677DEZ
KPD677HA
KPD677HAEZ
KPD679HA
KPD679HAEZ
AVX931A
AVX931B

Версия ПО

- (DGM1104)
- (AVM1203)
- (AVM2200)
- (AVM2200T)
- (AVM2220)
- (AVM2220SE)
- (AVM2220T)
- (AVM301)
- (AVM302A)
- (AVM302B)
- (AVM303)
- (AVM311)
- (AVM311A)
- (AVM317B)
- (AVM328B)
- (AVM328D)
- (AVM357A)
- (AVM357B)
- (AVM358C)
- (AVM359A)
- (AVM3650L)
- (AVM365A)
- (AVM365B)
- (AVM400B)
- (AVM401)
- (AVM402)
- (AVM403)
- (AVM403J)
- (AVM411)
- (AVM417A)
- (AVM420S)
- (AVM420U)
- (AVM420U-NWIR)
- (AVM428D)
- (AVM457A)
- (AVM458C)
- (AVM458J)
- (AVM459B)
- (AVM459C)
- (AVM459J)
- (AVM515)
- (AVM526)
- (AVM557A)
- (AVM565A)
- (AVM807C)
- (AVM808A)
- (AVN2503)
- (AVN305A)
- (AVN320)
- (AVN320LA)
- (AVN420)
- (AVN701EZ)
- (AVN803EZ)
- (AVN808)
- (AVN815EZ)
- (DGM1104A)
- (DGM1104QS)
- (DGM1104QSSE)
- (DGM1105)
- (DGM1105AQS)
- (DGM1105QS)
- (DGM1304)
- (DGM1304AQSSE)
- (DGM1304QS)
- (DGM1306QS)
- (DGM2103SV)
- (DGM2203SV)
- (DGM2203SVSE)
- (DGM2323)
- (DGM2403ASVSSE)
- (DGM2403ASVWSE)
- (DGM2443SVSE)
- (DGM2603SVS)
- (DGM2603SVW)
- (DGM2643SV)
- (AVC704H)
- (AVC704HEZ)
- (AVC706H)
- (AVC706HEZ)
- (AVC708H)
- (AVC708HEZ)
- (AVC792D)
- (AVC792DEZ)
- (AVC792HA)
- (AVC796HA)
- (AVC796HAEZ)
- (AVC798HA)
- (AVC798HAEZ)
- (KPD675D)
- (KPD675DEZ)
- (KPD675HA)
- (KPD675HAEZ)
- (KPD677D)
- (KPD677DEZ)
- (KPD677HA)
- (KPD677HAEZ)
- (KPD679HA)
- (KPD679HAEZ)
- (AVX931A)
- (AVX931B)

Тип ПО

ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
- ограничение доступа из внешних сетей (Интернет);
- отключение/ограничение функции удаленного управления для предотвращения попыток эксплуатации уязвимости (например, запрет использования незащищенного протокола Telnet);
- соблюдение парольной политики принятой для организации доступа к устройству;
- сегментирование сети для ограничения доступа к уязвимому устройству;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 90%
0.05091
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-57200

CVSS3: 6.5
nvd
2 месяца назад

AVTECH SECURITY Corporation DGM1104 FullImg-1015-1004-1006-1003 was discovered to contain an authenticated command injection vulnerability in the test_mail function. This vulnerability allows attackers to execute arbitrary commands via a crafted input.

github логотип

GHSA-c4mw-pxcp-988m

CVSS3: 6.5
github
2 месяца назад

AVTECH SECURITY Corporation DGM1104 FullImg-1015-1004-1006-1003 was discovered to contain an authenticated command injection vulnerability in the test_mail function. This vulnerability allows attackers to execute arbitrary commands via a crafted input.

EPSS

Процентиль: 90%
0.05091
Низкий

8.8 High

CVSS3

9 Critical

CVSS2