Katalog CVE

CVE-2025-65397

ŚrednieCVSS 6.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 - wyżej niż 21% wszystkich znanych CVE

Streszczenie

Niebezpieczny mechanizm uwierzytelniania w skrypcie startowym safe_exec.sh kamery Blurams Flare w wersji 24.1114.151.929 i wcześniejszych umożliwia atakującemu z fizycznym dostępem do urządzenia wykonanie dowolnych poleceń z uprawnieniami roota, jeśli plik /opt/images/public_key.der nie istnieje w systemie plików. Podatność można wykorzystać, umieszczając złośliwie spreparowany plik auth.ini na karcie SD urządzenia.

Ocena ryzyka

Organizacja narażona jest na całkowite przejęcie kontroli nad kamerą przez osobę z fizycznym dostępem, co może prowadzić do naruszenia poufności monitorowanego obszaru oraz wykorzystania urządzenia jako punktu wejścia do sieci wewnętrznej.

Rekomendacja

Należy natychmiast zaktualizować oprogramowanie kamery do najnowszej dostępnej wersji oraz zabezpieczyć fizyczny dostęp do urządzeń. Dodatkowo, zaleca się usunięcie lub zabezpieczenie karty SD przed nieautoryzowanym użyciem.

Oryginalny opis (angielski, źródło NVD)

An insecure authentication mechanism in the safe_exec.sh startup script of Blurams Flare Camera version 24.1114.151.929 and earlier allows an attacker with physical access to the device to execute arbitrary commands with root privileges, if file /opt/images/public_key.der is not present in the file system. The vulnerability can be triggered by providing a maliciously crafted auth.ini file on the device's SD card.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS