Ongeauthenticeerde command-injectie in VIGI NVR1104H-4P V1 en VIGI NVR2016H-16MP V2
Geplaatst inBeveiligingsmeldingen

Ongeauthenticeerde command-injectie in VIGI NVR1104H-4P V1 en VIGI NVR2016H-16MP V2

Een ernstige ongeauthenticeerde OS command-injectie kwetsbaarheid is ontdekt in VIGI NVR1104H-4P V1 en VIGI NVR2016H-16MP V2 van TP-Link. Deze beveiligingslek kan een aanvaller in staat stellen op afstand gevaarlijke opdrachten uit te voeren zonder enige vorm van authenticatie. Het is van cruciaal belang om te begrijpen dat een dergelijke kwetsbaarheid kan leiden tot volledige controle over het systeem zonder dat de gebruiker hiervan op de hoogte is.

Overzicht

Deze kwetsbaarheid treft de volgende apparaten:

  • VIGI NVR1104H-4P V1: versies voor 1.1.5 Build 250518
  • VIGI NVR2016H-16MP V2: versies voor 1.3.1 Build 250407

Volgens de CVSS4.0-score krijgt deze kwetsbaarheid een kritieke basisbeoordeling van 9.3, vanwege het feit dat geen privilege nodig is voor aanvallen, geen gebruikersonderhandeling vereist is en het gebruik maakt van netwerktoegang.

Aanbevelingen

We raden aan om de volgende acties onmiddellijk te ondernemen:

Bronnen

Vraag en Antwoord

Wat is CVE-2025-7724?

CVE-2025-7724 beschrijft een OS command-injectie kwetsbaarheid in specifieke versies van het TP-Link VIGI-systeem waardoor een externe aanvaller potentieel gevaarlijke opdrachten zonder authenticatie kan uitvoeren.

Welke systemen zijn kwetsbaar voor CVE-2025-7724?

Systemen met VIGI NVR1104H-4P V1 vóór versie 1.1.5 Build 250518 en VIGI NVR2016H-16MP V2 vóór versie 1.3.1 Build 250407.

Bestaat er al een patch of beveiligingsupdate?

Ja, er zijn nieuwe firmware-updates beschikbaar sinds 22 juli 2025 om deze kwestie te verhelpen. Zie de aanbevolen links hierboven voor het uitvoeren van deze updates.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan op afstand opdrachten invoeren op het systeem en daarmee onbeperkte toegang tot en controle over de netwerkrecorder krijgen, zonder dat enige authenticatie is vereist.

Tags: