Argitalpen data: 2022/02/11

Garrantzia:Kritikoa

Kaltetutako baliabideak:

Tapo C200 1.15 eta lehenagoko bertsioak.

Azalpena:

INCIBEk TP-Link Tapo C200ek duen ahultasun bati buruzko argitalpena koordinatu du, INCIBE-2021-0601 barne kodearekin, Víctor Fresco Perales-ek aurkitua.

Ahultasun honi CVE-2021-4045 kodea esleitu zaio. CVSS v3.1-en 9,8ko oinarrizko puntuazioa kalkulatu zaio, eta CVSSren kalkulua honakoa da: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.

Konponbidea:

Ahultasun hau dagoeneko konpondu du TP-Link-ek Tapo C200 1.1.16 bertsioan.

Xehetasuna:

IP TP-Link Tapo C200 kamera, firmwarearen 1.1.15 eta beheragoko bertsioetan, autentifikatu gabeko RCE erako ahultasun batek kaltetzen du, bere modu lehenetsian root modura exekutatzen den uhttpd bitarrean dagoena.

Ahultasun hau baliatuz gero erasotzaile batek kameraren kontrol osoa har dezake.

CWE-77: komando batean erabilitako elementu berezien neutralizazio desegokia ('Command Injection').

Ohartarazpen honi buruzko informazio gehiago baldin badaukazu jarri harremanetan INCIBErekin, CVEen esleipen eta argitalpena atalean adierazten den moduan.

Etiketak:0day, Eguneraketa, CNA, IoT, Ahultasuna