CVE-2026-1670

Nome do Software Vulnerável e Versões Afetadas Produtos CCTV Honeywell com versões anteriores às atualizações de firmware que corrigem a CVE-2026-1670 Honeywell I-HIB2PI-UL 2MP IP (6.1.22.1216) Honeywell SMB NDAA MVO-3, PTZ WDR 2MP 32M, 25M IPC (WDR 2MP 32M PTZ v2.0)

Descrição Os produtos afetados estão vulneráveis à exposição de um endpoint de API não autenticado. Isso permite que um atacante altere remotamente o endereço de e-mail de recuperação de "esqueci a senha", potencialmente levando à tomada total da conta e acesso não autorizado aos feeds de câmera. A questão é classificada como crítica, com uma pontuação CVSS de 9.8. A vulnerabilidade impacta sistemas implantados em ambientes comerciais, industriais e de infraestrutura crítica globalmente.

O endpoint de API vulnerável não requer autenticação, permitindo que um atacante modifique o endereço de e-mail associado à recuperação de senha. Isso permite que o atacante inicie uma redefinição de senha e obtenha controle da conta. O e-mail de recuperação é o parâmetro chave explorado através do endpoint de API exposto.

Recomendações Aplique atualizações de firmware que corrigem a CVE-2026-1670 assim que estiverem disponíveis. Remova a exposição à internet das câmeras afetadas. Segmente as câmeras afetadas em uma rede para limitar o acesso. Imponha acesso remoto seguro às câmeras afetadas. Como solução temporária, considere restringir o acesso ao endpoint de API vulnerável.