| CVE ID | CVE-2025-53701 |
| Data publikacji | 23 października 2025 |
| Producent podatnego oprogramowania | Vilar |
| Nazwa podatnego oprogramowania | VS-IPC1002 |
| Podatne wersje | 1.1.0.18 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-53702 |
| Data publikacji | 23 października 2025 |
| Producent podatnego oprogramowania | Vilar |
| Nazwa podatnego oprogramowania | VS-IPC1002 |
| Podatne wersje | 1.1.0.18 |
| Typ podatności (CWE) | Improper Handling of Exceptional Conditions (CWE-755) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu kamer Vilar VS-IPC1002 i koordynował proces ujawniania informacji.
Podatność CVE-2025-53701: Kamery IP Vilar VS-IPC1002 są podatne na ataki typu Reflected XSS (Cross-site Scripting), ponieważ parametry w zapytaniach GET wysyłanych do endpointu /cgi-bin/action nie są odpowiednio oczyszczane. Umożliwia to atakowanie zalogowanych użytkowników z uprawnieniami administratora.
Podatność CVE-2025-53702: Kamery IP Vilar VS-IPC1002 są podatne na ataki typu DoS (Denial-of-Service). Nieuwierzytelniony atakujący znajdujący się w tej samej sieci lokalnej może wysłać spreparowane żądanie do endpointu /cgi-bin/action, co powoduje całkowitą niedostępność urządzenia. Wymagany jest ręczny restart kamery.
Producent nie udzielił żadnej odpowiedzi. Przetestowano jedynie wersję 1.1.0.18 - inne wersje również mogą być podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Szymonowi Paszunowi.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.