CVE-2025-57200CVE-2025-57200是AVTECH SECURITY Corporation DGM1104系列网络摄像头设备中发现的一个认证命令注入漏洞。该漏洞存在于设备的test_mail功能中,攻击者可以通过精心构造的输入在受影响设备上执行任意系统命令。AVTECH DGM1104是一款广泛应用于安防监控领域的网络摄像机设备,支持远程监控和云存储功能。由于该设备通常部署在企业内部网络或直接暴露在互联网中,漏洞的存在可能导致严重的安全风险。攻击者成功利用此漏洞后,可以完全控制目标设备,执行任意系统操作,包括但不限于读取敏感配置信息、植入后门、横向移动到内网其他系统等。该漏洞的CVSS评分为6.5,属于中等严重程度,但由于其可能导致设备完全沦陷,建议相关用户尽快采取防护措施。
该漏洞属于典型的命令注入(Command Injection)类型,具体存在于AVTECH DGM1104设备的test_mail功能模块中。在该功能实现过程中,应用程序未能对用户输入进行充分的输入验证和安全过滤,直接将用户提供的参数拼接到系统命令中执行。攻击者可以利用分号、管道符、反引号等特殊字符,在输入中注入额外的系统命令。由于漏洞需要认证后才能触发,攻击者首先需要获取设备的有效登录凭证,或者利用设备的其他认证绕过漏洞。一旦成功利用,攻击者可以在设备的Linux操作系统上执行任意命令,获取root级别的系统权限。攻击者通常会利用此漏洞下载和执行恶意脚本,建立持久化后门连接,或者将设备纳入僵尸网络。由于AVTECH设备基于嵌入式Linux系统,漏洞的修复需要厂商发布固件更新,用户需要及时升级设备固件以消除安全风险。