Vulnerabilidad de ejecución remota de código en Tapo C200 de TP-LINK

Fecha de publicación: 11/02/2022

Importancia:
Crítica

Recursos afectados:

Tapo C200 versión 1.15 y anteriores.

Descripción:

INCIBE ha coordinado la publicación de una vulnerabilidad en TP-Link Tapo C200, con el código interno INCIBE-2021-0601, que ha sido descubierta por Víctor Fresco Perales.

A esta vulnerabilidad se le ha asignado el código CVE-2021-4045. Se ha calculado una puntuación base CVSS v3.1 de 9,8, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.

Solución:

Esta vulnerabilidad ya ha sido resuelta por TP-Link en la versión Tapo C200 1.1.16.

Detalle:

La cámara IP TP-Link Tapo C200, en su versión de firmware 1.1.15 e inferior, está afectada por una vulnerabilidad RCE no autenticada, presente en el binario uhttpd que se ejecuta por defecto como root.

La explotación de esta vulnerabilidad permite a un atacante tomar el control total de la cámara.

CWE-77: neutralización inadecuada de elementos especiales utilizados en un comando (‘Command Injection‘).

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Etiquetas:
0day, Actualización, CNA, IoT, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.