← volver
CVE-2025-35452

Pan-Tilt-Zoom cameras default administrative credentials for web interface

CVSS 9.2 CRITICALEPSS 0.8%CWE-1392CWE-798
En resumen

Las cámaras PTZOptics y similares utilizan el mismo nombre de usuario y contraseña administrativa predeterminados en todos los dispositivos para la interfaz web. Un atacante puede controlar la cámara, ver las imágenes o desactivar funciones de seguridad sin necesidad de autorización.

Detalle técnico

Las cámaras pan-tilt-zoom utilizan credenciales por defecto compartidas en la interfaz web administrativa (CWE-798: Credenciales Codificadas). Un atacante en la red puede autenticarse utilizando las credenciales predeterminadas conocidas públicamente, obteniendo acceso administrativo completo a las configuraciones, flujos de video y funciones de control remoto de la cámara. Afecta a dispositivos PTZOptics y basados en ValueHD que no implementan cambio obligatorio de credenciales.

Resumen generado y traducido por IA a partir de la descripción oficial.
PTZOptics and possibly other ValueHD-based pan-tilt-zoom cameras use default, shared credentials for the administrative web interface.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Productos afectados
multiCAM Systems · Pan-Tilt-Zoom CamerasPTZOptics · 12x Fixed Camera/NDI Fixed CameraPTZOptics · 20x Fixed Camera/NDI Fixed CameraPTZOptics · EPTZ Fixed Camera/NDI Fixed CameraPTZOptics · HC-EPTZ-NDIPTZOptics · PT12X-4K-xx-G3PTZOptics · PT12X-LINK-4K-xxPTZOptics · PT12X-SDI/NDI-xxPTZOptics · PT12X-SE-xx-G3PTZOptics · PT12X-STUDIO-4K-xx-G3PTZOptics · PT12X-USB-xxPTZOptics · PT20X-4K-xx-G3PTZOptics · PT20X-LINK-4K-xxPTZOptics · PT20X-SDI/NDI-xxPTZOptics · PT20X-SE-xx-G3PTZOptics · PT20X-STUDIO-4K-xx-G3PTZOptics · PT20X-USB-xxPTZOptics · PT30X-4K-xx-G3PTZOptics · PT30X-LINK-4K-xxPTZOptics · PT30X-SDI/NDI-xxPTZOptics · PT30X-SE-xx-G3PTZOptics · PT-STUDIOPROPTZOptics · VL Fixed Camera/NDI Fixed CameraSMTAV · Pan-Tilt-Zoom CamerasValueHD · Pan-Tilt-Zoom Cameras

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2025/icsa-25-162-10.jsonhttps://www.cisa.gov/news-events/ics-advisories/icsa-25-162-10https://www.cve.org/CVERecord?id=CVE-2025-35452https://www.greynoise.io/blog/greynoise-intelligence-discovers-zero-day-vulnerabilities-in-live-streaming-cameras-with-the-help-of-aihttps://www.labs.greynoise.io/grimoire/2024-10-31-sift-0-day-rce/