CVE-2025-34054

AVTECH IP camera, DVR, and NVR Devices Unauthenticated Command Injection

CVSS 10 CRITICALEPSS 2.7%CWE-78

Vexday Risk Score

48Atenção

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS 10EPSS 2.7%KEV nãoPoC públicaNuclei —Metasploit —Patch —

Ciclo de vida

01 jul 2025Publicada no NVD

Recomendação: Planejar correção próxima — já existe PoC pública.

An unauthenticated command injection vulnerability exists in AVTECH DVR devices via Search.cgi?action=cgi_query. The use of wget without input sanitization allows attackers to inject shell commands through the username or queryb64str parameters, executing commands as root. Exploitation evidence was observed by the Shadowserver Foundation on 2025-01-04 UTC.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Produtos afetados

AVTECH · IP camera, DVR, and NVR Devices

PoCs públicas encontradas — 2

cve_referenceweb.archive.org/web/20161029201749/https://github.com/ebux/AVTECHnão verificado cve_referencewww.exploit-db.com/exploits/40500não verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://avtech.com/https://vulncheck.com/advisories/avtech-ipcamera-nvr-dvr-mulitple-vulns https://web.archive.org/web/20161029201749/https://github.com/ebux/AVTECH https://web.archive.org/web/20240810225729/https://www.search-lab.hu/advisories/126-AVTech-devices-multiple-vulnerabilities https://www.exploit-db.com/exploits/40500