CVE-2025-34054

Nome do Software Vulnerável e Versões Afetadas AVTECH DVR (versões afetadas não especificadas)

Descrição Um problema de injeção de comando não autenticado existe em dispositivos AVTECH DVR. A falha ocorre porque o utilitário wget é utilizado sem a devida sanitização de entrada no endpoint 'Search.cgi?action=cgi query'. Isso permite que atacantes remotos injetem comandos de shell através dos parâmetros username ou queryb64str, resultando na execução de código arbitrário com privilégios de root. A exploração real deste problema foi observada pela Shadowserver Foundation em 07-03-2025 UTC.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.