Katalog CVE

CVE-2026-58453

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.69%

Percentyl 74 — wyżej niż 74% wszystkich znanych CVE

Streszczenie

Kamery IP Wi-Fi JAIOTlink C492A-W6 z oprogramowaniem 4.8.30.57701411 zawierają zakodowane na stałe poświadczenia, umożliwiające atakującym z sąsiedztwa sieciowego nieautoryzowany dostęp poprzez użycie domyślnej nazwy użytkownika admin z pustym hasłem akceptowanym przez usługę HTTP anyka_ipc na porcie 80. Atakujący mogą uwierzytelnić się tymi poświadczeniami, aby uzyskać dostęp do migawek z kamery, strumieni wideo, konfiguracji sieci oraz punktów końcowych API na poziomie fabrycznym, w tym powierzchni do wstrzykiwania poleceń SetMAC.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany podgląd obrazu z kamer, przechwycenie strumieni wideo, modyfikację konfiguracji sieciowej oraz zdalne wykonanie kodu poprzez podatność na wstrzykiwanie poleceń, co może prowadzić do naruszenia prywatności i integralności systemu monitoringu.

Rekomendacja

Należy natychmiast zmienić domyślne hasło administratora na silne, unikalne hasło oraz zaktualizować oprogramowanie kamery do najnowszej wersji, jeśli producent udostępnił łatkę. Dodatkowo zaleca się ograniczenie dostępu do portu 80 tylko do zaufanych adresów IP.

Oryginalny opis (angielski, źródło NVD)

JAIOTlink C492A-W6 Wi-Fi IP cameras running firmware 4.8.30.57701411 contain a hard-coded credentials vulnerability that allows network-adjacent attackers to gain unauthorized access by using the default admin username with an empty password accepted by the anyka_ipc HTTP service on port 80. Attackers can authenticate with these hardcoded credentials to access camera snapshots, video streams, network configuration, and factory-level API endpoints including the SetMAC command injection surface.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS