TP-Link NVR 安全更新:命令注入漏洞可能导致远程代码执行
💡
原文中文,约900字,阅读约需2分钟。
📝
内容提要
TP-Link 发布安全公告,警告 VIGI NVR1104H-4P V1 和 VIGI NVR2016H-16MP V2 存在两个严重的命令注入漏洞(CVE-2025-7723 和 CVE-2025-7724),攻击者可执行任意命令。建议用户升级固件以修复这些漏洞。
🎯
关键要点
- TP-Link 发布安全公告,警告 VIGI NVR1104H-4P V1 和 VIGI NVR2016H-16MP V2 存在两个严重的命令注入漏洞。
- 漏洞编号为 CVE-2025-7723 和 CVE-2025-7724,CVSS 评分分别为 8.5 和 8.7 分。
- 攻击者可利用这些漏洞在底层系统上执行任意命令。
- 受影响的固件版本为 VIGI NVR1104H-4P V1:早于 1.1.5 Build 250518,VIGI NVR2016H-16MP V2:早于 1.3.1 Build 250407。
- CVE-2025-7723 是一个认证后命令注入漏洞,攻击者需拥有有效凭证。
- CVE-2025-7724 允许未经认证的攻击者利用系统,可能导致设备完全被控制。
- TP-Link 建议用户升级固件以修复这些漏洞。
❓
延伸问答
TP-Link NVR 存在哪些安全漏洞?
TP-Link NVR1104H-4P V1 和 NVR2016H-16MP V2 存在两个命令注入漏洞,编号为 CVE-2025-7723 和 CVE-2025-7724。
CVE-2025-7723 和 CVE-2025-7724 的 CVSS 评分是多少?
CVE-2025-7723 的 CVSS 评分为 8.5,CVE-2025-7724 的 CVSS 评分为 8.7。
如何修复 TP-Link NVR 的安全漏洞?
用户应将设备升级至 VIGI NVR1104H-4P V1 的固件版本 1.1.5 Build 250518 或 VIGI NVR2016H-16MP V2 的固件版本 1.3.1 Build 250407。
CVE-2025-7723 和 CVE-2025-7724 的攻击方式有什么不同?
CVE-2025-7723 是认证后命令注入漏洞,需要有效凭证,而 CVE-2025-7724 允许未经认证的攻击者利用系统。
这些漏洞可能导致什么后果?
攻击者可能获得底层操作系统的命令行访问权限,导致设备完全被控制、监控数据被篡改或在网络中横向移动。
受影响的固件版本有哪些?
受影响的固件版本为 VIGI NVR1104H-4P V1:早于 1.1.5 Build 250518,VIGI NVR2016H-16MP V2:早于 1.3.1 Build 250407。
➡️
