TP-Link corrige fallos críticos en videograbadores VIGI: ejecución remota de comandos, incluso sin credenciales
ISO/IEC 27037: Directrices para el Manejo Forense de Evidencia Digital
25 de julio de 2025
TP-Link ha publicado parches de seguridad para dos vulnerabilidades críticas que afectan a sus videograbadores de red (NVR) de la serie VIGI, específicamente los modelos VIGI NVR1104H-4P V1 y VIGI NVR2016H-16MP V2. Los fallos, identificados como CVE-2025-7723 y CVE-2025-7724, permiten la ejecución remota de comandos en el sistema operativo del dispositivo, incluso sin autenticación previa en uno de los casos.
Con puntuaciones CVSS v4 de 8.5 y 8.7, estas vulnerabilidades presentan un riesgo severo para organizaciones que utilizan estos dispositivos como parte de su infraestructura de videovigilancia.
Detalles técnicos de las vulnerabilidades
Ambos fallos derivan de una validación insuficiente de los parámetros recibidos a través de las interfaces CGI del sistema. Un atacante puede aprovechar el endpoint:
/cgi-bin/system_mgr.cgi?cmd=…para inyectar comandos arbitrarios mediante el operador ;, obteniendo así control sobre el sistema operativo subyacente, que corre con privilegios elevados.
| CVE | Tipo de fallo | Requisitos para explotación | Impacto |
|---|---|---|---|
| CVE-2025-7723 | Inyección de comandos | Usuario autenticado | Ejecución como root |
| CVE-2025-7724 | Inyección sin autenticación | Acceso a red local | Compromiso completo del NVR |
Modelos afectados y versiones corregidas
| Modelo | Firmware vulnerable | Firmware corregido |
|---|---|---|
| VIGI NVR1104H-4P V1 | Antes de 1.1.5 Build 250518 | 1.1.5 Build 250518 |
| VIGI NVR2016H-16MP V2 | Antes de 1.3.1 Build 250407 | 1.3.1 Build 250407 |
TP-Link lanzó las actualizaciones el 22 de julio de 2025, y advierte que los dispositivos que no se actualicen quedan completamente expuestos a ataques dentro de la red local.
Posibles escenarios de ataque
- Acceso remoto no autenticado (CVE-2025-7724) para manipular, borrar o extraer grabaciones de vídeo.
- Persistencia y pivoting: uso del NVR como punto de entrada para comprometer otros dispositivos en la red interna.
- Control de cámaras IP vinculadas y alteración de la configuración de vigilancia.
- Instalación de malware como botnets IoT o uso del NVR para minería de criptomonedas.
Recomendaciones de mitigación
Hispasec y otros organismos recomiendan las siguientes acciones inmediatas:
- Actualizar el firmware desde el portal oficial de soporte de TP-Link.
- Revocar credenciales activas y forzar cierre de sesión tras aplicar los parches.
- Limitar el acceso al panel de administración mediante VPN o listas blancas de IP.
- Deshabilitar servicios innecesarios como Telnet, FTP o UPnP.
- Monitorear los logs del NVR en busca de actividades sospechosas y activar alertas sobre la integridad del firmware.
