Se han descubierto vulnerabilidades de severidad alta en productos TP-Link. Actores maliciosos autenticados o no autenticados podrían lograr la inyección de comandos en el sistema objetivo.
Productos afectados
- VIGI NVR1104H-4P V1, versiones anteriores a 1.1.5 Build 250518
- VIGI NVR2016H-16MP V2, versiones anteriores a 1.3.1 Build 250407
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-7724: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad de inyección de comandos del sistema operativo no autenticado. Un actor malicioso no autenticado podría aprovechar la vulnerabilidad para ejecutar comandos arbitrarios en el sistema operativo subyacente del dispositivo
CVE-2025-7723: con una puntuación de 8.5 en CVSS v4.0. Existe una vulnerabilidad de inyección de comandos del sistema operativo luego de la autenticación. Un actor malicioso autenticado podría aprovechar la vulnerabilidad para ejecutar comandos arbitrarios en el sistema operativo subyacente del dispositivo
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-7723
- https://nvd.nist.gov/vuln/detail/CVE-2025-7724
- https://www.tp-link.com/us/support/faq/4547/