CVE-2025-34055
AVTECH IP camera, DVR, and NVR Devices Authenticated Root Command Execution
Vexday Risk Score
48Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 9.4EPSS 1.5%KEV nãoPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
01 jul 2025Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
An OS command injection vulnerability exists in AVTECH DVR, NVR, and IP camera devices within the adcommand.cgi endpoint, which interfaces with the ActionD daemon. Authenticated users can invoke the DoShellCmd operation, passing arbitrary input via the strCmd parameter. This input is executed directly by the system shell without sanitation allowing attackers to execute commands as the root user.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Produtos afetados
AVTECH · IP camera, DVR, and NVR DevicesPoCs públicas encontradas — 2
cve_referencewww.exploit-db.com/exploits/40500não verificadocve_referenceweb.archive.org/web/20161029201749/https://github.com/ebux/AVTECHnão verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://avtech.com/https://vulncheck.com/advisories/avtech-ipcamera-nvr-dvr-mulitple-vulnshttps://web.archive.org/web/20161029201749/https://github.com/ebux/AVTECHhttps://web.archive.org/web/20240810225729/https://www.search-lab.hu/advisories/126-AVTech-devices-multiple-vulnerabilitieshttps://www.exploit-db.com/exploits/40500