Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu kamery Vivotek IP7137
09 stycznia 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-66049
Data publikacji 09 stycznia 2026
Producent podatnego oprogramowania Vivotek
Nazwa podatnego oprogramowania IP7137
Podatne wersje 0200a
Typ podatności (CWE) Missing Authentication for Critical Function (CWE-306)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-66050
Data publikacji 09 stycznia 2026
Producent podatnego oprogramowania Vivotek
Nazwa podatnego oprogramowania IP7137
Podatne wersje 0200a
Typ podatności (CWE) Use of Default Password (CWE-1393)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-66051
Data publikacji 09 stycznia 2026
Producent podatnego oprogramowania Vivotek
Nazwa podatnego oprogramowania IP7137
Podatne wersje 0200a
Typ podatności (CWE) Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-66052
Data publikacji 09 stycznia 2026
Producent podatnego oprogramowania Vivotek
Nazwa podatnego oprogramowania IP7137
Podatne wersje 0200a
Typ podatności (CWE) Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') (CWE-78)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu kamery Vivotek IP7137 i koordynował proces ujawniania informacji.

Podatność CVE-2025-66049: Kamera Vivotek IP7137 umożliwia dostęp do obrazu na żywo za pośrednictwem protokołu RTSP na porcie 8554 bez uwierzytelnienia. Pozwala to nieuprawnionym użytkownikom z dostępem sieciowym do kamery na podgląd obrazu, co może prowadzić do naruszenia prywatności i bezpieczeństwa użytkownika.

Podatność CVE-2025-66050: Kamera Vivotek IP7137 domyślnie nie wymaga podania hasła podczas logowania na konto administratora. Chociaż możliwe jest ustawienie takiego hasła, użytkownik nie jest informowany o konieczności jego konfiguracji.

Podatność CVE-2025-66051: Kamera Vivotek IP7137 jest podatna na atak typu path traversal. Uwierzytelniony atakujący może uzyskać dostęp do zasobów znajdujących się poza katalogiem webroot przy użyciu bezpośredniego żądania HTTP.

Podatność CVE-2025-66052: Kamera Vivotek IP7137 jest podatna na atak typu command injection. Parametr system_ntpIt wykorzystywany przez endpoint /cgi-bin/admin/setparam.cgi nie jest odpowiednio filtrowany, co umożliwia użytkownikowi z uprawnieniami administratora przeprowadzenie ataku.

Producent nie odpowiedział na zgłoszenie CNA. Możliwe, że podatność dotyczy wszystkich wersji oprogramowania układowego (testowana wersja to 0200a). Ponieważ produkt osiągnął fazę End-Of-Life, nie należy oczekiwać wydania poprawki.

Podziękowania

Za zgłoszenie podatności dziękujemy Szymonowi Paszunowi.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.