TP-Link, VIGI Network Video Kaydedici modellerinden ikisini etkileyen kritik güvenlik açıklarını açıkladı ve potansiyel olarak saldırganların temel işletim sisteminde keyfi komutlar yürütmesine izin verdi.
CVE-2025-7723 ve CVE-2025-7724 olarak tanımlanan güvenlik açıkları, VIGI NVR1104H-4P V1 ve VIGI NVR2016H-16MP V2 cihazlarını etkiler, her ikisi de 8.5 ve 8.7 yüksek CVSS skoru alır.
Güvenlik Açığı Detayları ve Saldırı Vektörü
Güvenlik kusurları, bu ağ video kayıt sistemlerini kullanan kuruluşlar için önemli bir güvenlik riskini temsil eden hem kimliği doğrulanmış hem de yetkili OS komut enjeksiyon güvenlik açıkları olarak kendini gösterir.
CVE-2025-7723, CVSS V4.0 skoru 8.5 ile kimliği doğrulanmış senaryoları etkilerken, CVE-2025-7724, daha yüksek bir skor 8.7 ile kimlik doğrulanmamış erişim noktalarını hedefler.
CVE-2025-7724’ün yetkilendirilmemiş doğası, saldırganların geçerli kimlik bilgileri gerektirmeden potansiyel olarak güvenlik açığından yararlanabileceğinden, özellikle ilgisini çekiyor.
Her iki güvenlik açıkları da bitişik ağ erişim gereksinimleri, düşük saldırı karmaşıklığı ve gizlilik, dürüstlük ve kullanılabilirlik üzerinde yüksek etki potansiyeli ile karakterizedir.
Saldırı vektörleri, aynı ağ segmentindeki kötü niyetli aktörlerin, etkilenen cihazlar üzerinde yetkisiz kontrol elde etmek için bu kusurlardan yararlanabileceğini düşündürmektedir.
| CVE kimliği | Ürün modeli | Etkilenen versiyon | Sabit versiyon | CVSS Puanı |
| CVE-2025-7723 | VIGI NVR1104H-4P V1, VIGI NVR2016H-16MP V2 | <1.1.5 Yapı 250518, <1.3.1 Build 250407 | 1.1.5 Yapı 250518, 1.3.1 Yapı 250407 | 8.5 (Yüksek) |
| CVE-2025-7724 | VIGI NVR1104H-4P V1, VIGI NVR2016H-16MP V2 | <1.1.5 Yapı 250518, <1.3.1 Build 250407 | 1.1.5 Yapı 250518, 1.3.1 Yapı 250407 | 8.7 (Yüksek) |
Ağ Video Kayıt Cihazlarında keyfi komutlar yürütme yeteneği, özellikle bu cihazların genellikle hassas gözetim verilerini işlediği kurumsal ortamlarda ciddi güvenlik riskleri oluşturmaktadır.
Başarılı sömürü, kaydedilmiş görüntülere, cihaz manipülasyonuna veya uzlaşmacı sistemlerin yanal ağ hareketi için pivot noktaları olarak kullanılmasına yol açabilir.
TP-Link, hem güvenlik açıklarını ele alan ve yamaların derhal dağıtılmasını şiddetle öneren ürün yazılımı güncellemeleri yayınladı.
Kullanıcılar VIGI NVR1104H-4P V1 cihazlarını ürün yazılımı sürüm 1.1.5 Build 250518’e güncellemeli, Vigi NVR2016H-16MP V2 birimleri sürüm 1.3.1 Build 250407 sürümünü gerektirir.
Etkilenen TP-Link Vigi NVR sistemlerini işleten kuruluşlar, yükseltme işleminden sonra derhal ürün yazılımı güncellemelerine öncelik vermeli ve kapsamlı güvenlik değerlendirmeleri yapmalıdır.
TP-Link, önerilen güvenlik önlemlerinin uygulanamamasının, savunmasızlık maruziyetinin devam etmesine neden olabileceğini ve şirketin bu danışmanlığa yetersiz yanıttan kaynaklanan sonuçların sorumluluğunu reddettiğini vurgulamaktadır.
Açıklama, mevcut ürün yazılımı sürümlerinin sürdürülmesinin ve IoT ve gözetim ekipmanı için sağlam ağ güvenlik önlemlerinin uygulanmasının devam eden öneminin altını çizmektedir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now