Icono del sitio Una Al Día

TP-Link corrige dos vulnerabilidades críticas en videograbadores VIGI que permiten ejecutar comandos remotos

Mayela Marín

Dos vulnerabilidades de inyección de comandos —una de ellas sin autenticación— afectan a los videograbadores de red VIGI NVR1104H-4P V1 y VIGI NVR2016H-16MP V2. Con CVSS-v4 de 8,5 y 8,7, respectivamente, los fallos ya cuentan con advisory oficial y actualizaciones de firmware.

¿En qué consisten los fallos?

CVETipoRequisitosResultado
CVE-2025-7723Inyección de comandosUsuario autenticadoEjecución de órdenes OS como root.
CVE-2025-7724Inyección de comandosSin credencialesCompromiso total del NVR desde la red local.

Ambos errores se deben a una validación insuficiente de parámetros en las peticiones CGI del panel de administración. Un atacante puede invocar /cgi-bin/system_mgr.cgi?cmd=… y encadenar comandos con ;, obteniendo control completo del sistema operativo subyacente.

Versiones afectadas y parches

ModeloFirmware vulnerableFirmware seguro
VIGI NVR1104H-4P V1< 1.1.5 Build 2505181.1.5 Build 250518
VIGI NVR2016H-16MP V2< 1.3.1 Build 2504071.3.1 Build 250407

TP-Link publicó los hotfixes el 22 de julio de 2025 y advierte de que los dispositivos sin actualizar quedan totalmente expuestos.

Impacto potencial

  1. Acceso remoto no autenticado (CVE-2025-7724) para manipular, borrar o exportar grabaciones de vídeo.
  2. Persistencia y pivote: el NVR comprometido actúa como plataforma para escanear y atacar otros equipos de la LAN.
  3. Secuestro de cámaras IP y alteración de la configuración de vigilancia.
  4. Ejecución de malware (botnets IoT) o uso del procesador para criptominería.

Recomendaciones de Hispasec

Más información

Acerca de Mayela Marín

Mayela Marín Ha escrito 31 publicaciones.

Salir de la versión móvil