TP-Link Vigi Network Video Kaydedici (NVR) sistemindeki iki yüksek şiddetli güvenlik açıkları, saldırganların etkilenen cihazlarda keyfi komutlar yürütmesine izin verebilir.
CVE-2025-7723 ve CVE-2025-7724 olarak tanımlanan güvenlik kusurları, VIGI NVR1104H-4P V1 ve VIGI NVR2016H-16MP V2 modellerini etkiler ve gözetim altyapısı güvenliği için önemli riskler oluşturur.
Key Takeaways
1. Two serious vulnerabilities let attackers run commands on TP-Link VIGI NVR devices.
2. One flaw needs login; the other works without credentials, posing a high risk.
3. Update the device firmware immediately to stay protected.
CVE-2025-7723: Kimlik Doğrulanmış Komut Enjeksiyon Güvenlik Açığı
CVE-2025-7723, etkilenen cihazlarda keyfi OS-seviyesi komutlarını enjekte etmek ve yürütmek için kimliği doğrulanmış erişimi olan saldırganlara izin veren bir Yüksek Teslim İşletim Sistemi (OS) komut enjeksiyon güvenlik açığıdır.
CVSS V4.0 skoru 8.5 ile, bu güvenlik açığı ciddi kabul edilir, çünkü saldırganlara giriş yaptıktan sonra sistem üzerinde önemli kontrol verilir.
Bu güvenlik açığından yararlanmak, kötü amaçlı aktörlerin gözetim görüntülerini tehlikeye atmasını, cihaz ayarlarını değiştirmesini veya ağ video kaydedicilerini (NVRS) bir kuruluş ağındaki daha fazla saldırı için dayanak olarak kullanmasını sağlayabilir.
CVE-2025-7724: Yetkısız Komut Enjeksiyon Güvenlik Açığı
CVE-2025-7724, sömürü için gerekli kimlik doğrulama eksikliği nedeniyle daha da yüksek bir riski temsil eder.
8.7 CVSS V4.0 puanı atanan bu güvenlik açığı, saldırganların giriş yapmasına veya kimlik bilgilerine gerek kalmadan etkilenen VIGI NVR cihazlarında keyfi komutlar yürütmesini sağlar.
Bu, kusuru özellikle tehlikeli hale getirir, çünkü bitişik ağ erişimi olan herkes tarafından uzaktan sömürülebilir ve sadece minimum çaba veya teknik bilgi gerektirir.
Başarılı sömürü, cihazın gizliliğini, bütünlüğünü ve kullanılabilirliğini tamamen tehlikeye atabilir, bu da saldırganların depolanan video verilerini kurcalamasına, işlemleri bozmasına veya yerel ağda daha fazla saldırı başlatmasına izin verebilir.
Özellikle etkilenen VIGI NVR1104H-4P V1 Cihazları 1.1.5 Build 250518 ve Vigi NVR2016H-16MP V2 sistemlerinden önce 1.3.1 Build 250407’den önce ürün yazılımı sürümlerine sahip.
| CVE kimliği | Başlık | Etkilenen sürümler | CVSS 3.1 puanı | Şiddet |
| CVE-2025-7723 | Kimliği doğrulanmış komut enjeksiyonu | VIGI NVR1104H-4P V1 <1.1.5 Yapı 250518VIGI NVR2016H-16MP V2 <1.3.1 Yapı 250407 | 8.5 | Yüksek |
| CVE-2025-7724 | Yetkısız komut enjeksiyonu | VIGI NVR1104H-4P V1 <1.1.5 Yapı 250518VIGI NVR2016H-16MP V2 <1.3.1 Yapı 250407 | 8.7 | Yüksek |
Hafifletme
TP-Link, hem güvenlik açıklarını ele almak için ürün yazılımı güncellemeleri yayınladı hem de bu yamaların derhal dağıtılmasını şiddetle tavsiye ediyor.
Kullanıcılar VIGI NVR1104H-4P V1 Sistemlerini ürün yazılımı 1.1.5 Build 250518 ve VIGI NVR2016H-16MP V2 cihazlarını sürüm 1.3.1 Build 250407’ye yükseltmelidir.
Şirket, ürün yazılımı yükseltme işleminden sonra tüm güvenlik ayarlarının düzgün bir şekilde yapılandırılmasını sağlamak için güncelleme sonrası yapılandırma doğrulamasının önemini vurgulamaktadır.
Ağ yöneticileri en son ürün yazılımını doğrudan TP-Link’in resmi destek kanallarından indirmeli ve potansiyel saldırı yüzeylerini sınırlamak için ek ağ segmentasyon önlemleri uygulamalıdır.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi