Dos vulnerabilidades de inyección de comandos —una de ellas sin autenticación— afectan a los videograbadores de red VIGI NVR1104H-4P V1 y VIGI NVR2016H-16MP V2. Con CVSS-v4 de 8,5 y 8,7, respectivamente, los fallos ya cuentan con advisory oficial y actualizaciones de firmware.
¿En qué consisten los fallos?
| CVE | Tipo | Requisitos | Resultado |
|---|---|---|---|
| CVE-2025-7723 | Inyección de comandos | Usuario autenticado | Ejecución de órdenes OS como root. |
| CVE-2025-7724 | Inyección de comandos | Sin credenciales | Compromiso total del NVR desde la red local. |
Ambos errores se deben a una validación insuficiente de parámetros en las peticiones CGI del panel de administración. Un atacante puede invocar /cgi-bin/system_mgr.cgi?cmd=… y encadenar comandos con ;, obteniendo control completo del sistema operativo subyacente.
Versiones afectadas y parches
| Modelo | Firmware vulnerable | Firmware seguro |
|---|---|---|
| VIGI NVR1104H-4P V1 | < 1.1.5 Build 250518 | 1.1.5 Build 250518 |
| VIGI NVR2016H-16MP V2 | < 1.3.1 Build 250407 | 1.3.1 Build 250407 |
TP-Link publicó los hotfixes el 22 de julio de 2025 y advierte de que los dispositivos sin actualizar quedan totalmente expuestos.
Impacto potencial
- Acceso remoto no autenticado (CVE-2025-7724) para manipular, borrar o exportar grabaciones de vídeo.
- Persistencia y pivote: el NVR comprometido actúa como plataforma para escanear y atacar otros equipos de la LAN.
- Secuestro de cámaras IP y alteración de la configuración de vigilancia.
- Ejecución de malware (botnets IoT) o uso del procesador para criptominería.
Recomendaciones de Hispasec
- Actualizar inmediatamente a las versiones indicadas desde la página oficial de soporte.
- Tras el parche, revocar credenciales y reiniciar todas las sesiones activas.
- Limitar el acceso al puerto de administración mediante listas de control IP o VPN.
- Deshabilitar servicios externos no utilizados (UPnP, FTP, Telnet) y aplicar contraseñas fuertes y únicas.
- Monitorizar los logs del NVR en busca de comandos sospechosos y activar alertas de integridad de firmware.
Más información
- CyberSecurityNews – TP-Link Network Video Recorder Vulnerability Lets Attackers Execute Arbitrary Commands
- TP-Link – Security advisory CVE-2025-7723 / 7724 (22 jul 2025) (TP-Link)
- NVD – CVE-2025-7724: Unauthenticated OS Command Injection in VIGI NVR )
- Incibe – CVE-2025-7723
La entrada TP-Link corrige dos vulnerabilidades críticas en videograbadores VIGI que permiten ejecutar comandos remotos se publicó primero en Una Al Día.
