Een ernstige kwetsbaarheid CVE-2025-34132 in de Digital Video Recorders (DVR) van LILIN biedt kwaadwillenden de mogelijkheid om willekeurige commando’s uit te voeren als root, zonder gebruikersinteractie. Dit is mogelijk door ongefilterde invoer in het veld ‘Server’ van de NTPUpdate-configuratie tot aan firmwareversie 2.0b60_20200207.
Deze kwetsbaarheid maakt gebruik van commandinjectie, waardoor aanvallers mogelijk toegang krijgen tot gevoelige gegevens of de volledige controle over het systeem kunnen overnemen. Het betreft modellen met firmwareversies lager dan 2.0b60_20200207.
Overzicht
Kwetsbaarheid CVE-2025-34132 treft LILIN DVR apparaten waar de webservice op /z/zbin/dvr_box ingevoerde gegevens onvoldoende neutraliseert. Hierdoor kunnen kwaadwillenden via de DVRPOST interface speciaal samengestelde XML-data indienen en deze commando’s als root uitvoeren.
Aanbevelingen
- Update de firmware naar versie 2.0b60_20200207 of nieuwer om dit beveiligingslek te dichten.
- Controleer configuraties om ongeautoriseerde aanpassingen te identificeren en herstel mogelijke veranderingen.
Bronnen
- Bloggerbericht van 360 Netlab
- Officiële patch documentatie van Merit LILIN
- Technische advies van VulnCheck
Vraag en Antwoord
Wat is CVE-2025-34132?
Het betreft een commandinjectie kwetsbaarheid in LILIN DVR’s waarmee kwaadwillenden via de NTPUpdate-interface ongeautoriseerde commando’s kunnen uitvoeren, hetgeen zeer hoge impact heeft op de integriteit en beschikbaarheid van de systemen.
Welke systemen zijn kwetsbaar voor CVE-2025-34132?
De kwetsbaarheid treft alle LILIN DVR-modellen met firmwareversies lager dan 2.0b60_20200207.
Bestaat er al een patch of beveiligingsupdate?
Ja, het updaten naar firmwareversie 2.0b60_20200207 verhelpt deze kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan, zonder enige privileges of interactie van de gebruiker, willekeurige commando’s als root uitvoeren, wat kan resulteren in volledige systeemcompromittering.
