← volver
CVE-2021-33045

CVE-2021-33045

CVSS 9.8 CRITICALEPSS 99.6%● KEVCWE-287
En resumen

Los dispositivos Dahua tienen una falla crítica en su proceso de inicio de sesión que permite a atacantes eludir la autenticación enviando paquetes de datos especialmente elaborados, obteniendo potencialmente acceso no autorizado al dispositivo.

Detalle técnico

Existe una vulnerabilidad de omisión de autenticación en los mecanismos de inicio de sesión de productos Dahua (CWE-287) donde la verificación inadecuada de identidad permite a atacantes construir paquetes maliciosos para eludir controles de autenticación sin credenciales válidas. El vector de ataque remoto y no autenticado permite compromiso total del dispositivo sin interacción del usuario.

Resumen generado y traducido por IA a partir de la descripción oficial.
The identity authentication bypass vulnerability found in some Dahua products during the login process. Attackers can bypass device identity authentication by constructing malicious data packets.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · Some Dahua IP Camera, Video Intercom, NVR, XVR devices
PoCs públicas encontradas2
githubgithub.com/dongpohezui/cve-2021-330458cve_referencepacketstormsecurity.com/files/164423/Dahua-Authentication-Bypass.htmlno verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://packetstormsecurity.com/files/164423/Dahua-Authentication-Bypass.htmlhttp://seclists.org/fulldisclosure/2021/Oct/13https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-33045https://www.dahuasecurity.com/support/cybersecurity/details/957