CVE-2025-34036

Nome do Software Vulnerável e Versões Afetadas: TVT DVR Cross Web Server (versões afetadas não especificadas)

Descrição: Existe uma vulnerabilidade de injeção de comando no sistema operacional no serviço HTTP personalizado chamado "Cross Web Server", que escuta nas portas TCP 81 e 82. A interface web não sanitiza adequadamente a entrada no caminho da URI passada para a funcionalidade de extração de idioma. Quando o servidor processa uma solicitação para "/language/[lang]/index.html", ele utiliza a entrada [lang] de forma insegura em um comando de extração tar sem o devido escape. Isso permite que um atacante remoto não autenticado injete comandos shell e obtenha execução arbitrária de comandos como root.

Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.