Se ha descubierto una vulnerabilidad de severidad alta en múltiples modelos de cámaras de vigilancia TP-Link VIGI. Un actor malicioso con acceso a la red local podría eludir el mecanismo de autenticación y tomar el control administrativo del dispositivo.
Productos afectados
- TP-Link VIGI Cx45 (Modelos C345 y C445): versiones anteriores a 3.1.0 Build 250820 Rel.57668n
- TP-Link VIGI Cx55 (Modelos C355 y C455): versiones anteriores a 3.1.0 Build 250820 Rel.58873n
- TP-Link VIGI Cx85 (Modelos C385 y C485): versiones anteriores a 3.0.2 Build 250630 Rel.71279n
- TP-Link VIGI C340S: versiones anteriores a 3.1.0 Build 250625 Rel.65381n
- TP-Link VIGI C540S (incluye EasyCam C540S): versiones anteriores a 3.1.0 Build 250625 Rel.66601n
- TP-Link VIGI C540V: versiones anteriores a 2.1.0 Build 250702 Rel.54300n
- TP-Link VIGI C250: versiones anteriores a 2.1.0 Build 250702 Rel.54301n
- TP-Link VIGI Cx50 (Modelos C350 y C450): versiones anteriores a 2.1.0 Build 250702 Rel.54294n
- TP-Link VIGI Cx20I (1.0) (Modelos C220I, C320I, C420I v1.0): versiones anteriores a 2.1.0 Build 251014 Rel.58331n
- TP-Link VIGI Cx20I (1.20) (Modelos C220I, C320I, C420I v1.20): versiones anteriores a 2.1.0 Build 250701 Rel.44071n
- Entre otros
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–0629: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad de elusión de autenticación en la función de recuperación de contraseña de la interfaz web local. Un actor malicioso con acceso a la red local podría manipular el estado del cliente para restablecer la contraseña de administrador sin verificación previa, obteniendo así acceso administrativo completo al dispositivo.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias