← voltar
CVE-2025-35452

Pan-Tilt-Zoom cameras default administrative credentials for web interface

CVSS 9.2 CRITICALEPSS 0.8%CWE-1392CWE-798
Em resumo

Câmeras PTZOptics e similares vêm com nomes de usuário e senhas padrão iguais em todos os dispositivos para acessar a interface web de administrador. Um atacante pode controlar a câmera, visualizar as imagens ou desativar recursos de segurança sem precisar de autorização.

Detalhe técnico

As câmeras pan-tilt-zoom utilizam credenciais padrão não modificáveis na interface web administrativa (CWE-798: Credenciais Codificadas). Um atacante na rede pode autenticar-se usando as credenciais padrão conhecidas publicamente, obtendo acesso total às configurações, feeds de vídeo e funções de controle remoto da câmera. Afeta dispositivos PTZOptics e baseados em ValueHD que não implementam rotação obrigatória de credenciais.

Resumo gerado e traduzido por IA a partir da descrição oficial.
PTZOptics and possibly other ValueHD-based pan-tilt-zoom cameras use default, shared credentials for the administrative web interface.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
multiCAM Systems · Pan-Tilt-Zoom CamerasPTZOptics · 12x Fixed Camera/NDI Fixed CameraPTZOptics · 20x Fixed Camera/NDI Fixed CameraPTZOptics · EPTZ Fixed Camera/NDI Fixed CameraPTZOptics · HC-EPTZ-NDIPTZOptics · PT12X-4K-xx-G3PTZOptics · PT12X-LINK-4K-xxPTZOptics · PT12X-SDI/NDI-xxPTZOptics · PT12X-SE-xx-G3PTZOptics · PT12X-STUDIO-4K-xx-G3PTZOptics · PT12X-USB-xxPTZOptics · PT20X-4K-xx-G3PTZOptics · PT20X-LINK-4K-xxPTZOptics · PT20X-SDI/NDI-xxPTZOptics · PT20X-SE-xx-G3PTZOptics · PT20X-STUDIO-4K-xx-G3PTZOptics · PT20X-USB-xxPTZOptics · PT30X-4K-xx-G3PTZOptics · PT30X-LINK-4K-xxPTZOptics · PT30X-SDI/NDI-xxPTZOptics · PT30X-SE-xx-G3PTZOptics · PT-STUDIOPROPTZOptics · VL Fixed Camera/NDI Fixed CameraSMTAV · Pan-Tilt-Zoom CamerasValueHD · Pan-Tilt-Zoom Cameras

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2025/icsa-25-162-10.jsonhttps://www.cisa.gov/news-events/ics-advisories/icsa-25-162-10https://www.cve.org/CVERecord?id=CVE-2025-35452https://www.greynoise.io/blog/greynoise-intelligence-discovers-zero-day-vulnerabilities-in-live-streaming-cameras-with-the-help-of-aihttps://www.labs.greynoise.io/grimoire/2024-10-31-sift-0-day-rce/