-
09/04/2020
-
95
-
780 bài viết
Phát hiện lỗ hổng trong camera giám sát gia đình và doanh nghiệp của UniFi Protect
Một lỗ hổng bảo mật có điểm CVSS 10.0 (critical) trong camera UniFi Protect cho phép kẻ tấn công thực thi mã từ xa nếu có quyền truy cập mạng quản lý, từ đó có thể dẫn đến toàn bộ hệ thống camera giám sát bị chiếm quyền kiểm soát, dữ liệu video bị theo dõi trái phép, và nguy cơ xâm nhập sâu vào hạ tầng mạng nội bộ.
Lỗ hổng nghiêm trọng nhất là CVE-2025-23123 được phát hiện trong trong firmware UniFi Protect Camera (phiên bản 4.75.43 trở xuống). Các lỗi này ảnh hưởng trực tiếp đến cả camera UniFi Protect và ứng dụng UniFi Protect – vốn được sử dụng phổ biến trong giám sát an ninh tại gia đình và doanh nghiệp. Điều này gây hoang mang cho các chủ sở hữu camera an ninh về sự cố mất quyền riêng tư có thể xảy ra.
Lỗi này phát sinh do tràn bộ đệm heap, cho phép thực thi mã từ xa (RCE) nếu kẻ tấn công có quyền truy cập vào mạng quản lý.
Ảnh hưởng:
Khuyến cáo: Người dùng nên cập nhật firmware lên phiên bản 4.75.62 hoặc cao hơn để vá lỗi.
Ngoài ra còn có lỗ hổng thứ hai là CVE-2025-23164 (CVSS 4.4) tạo ra vấn đề trong cơ chế xác thực của UniFi Protect Application
Lỗi này là do cơ chế cấp quyền truy cập qua token trong ứng dụng UniFi Protect (phiên bản 5.3.41 trở xuống) được cấu hình sai, khiến người nhận link ‘Share Livestream’ vẫn có thể xem video ngay cả sau khi link bị thu hồi.
Khuyến cáo: Cập nhật ứng dụng lên phiên bản 5.3.45 trở lên để đảm bảo quyền truy cập được kiểm soát.
Lỗ hổng nghiêm trọng nhất là CVE-2025-23123 được phát hiện trong trong firmware UniFi Protect Camera (phiên bản 4.75.43 trở xuống). Các lỗi này ảnh hưởng trực tiếp đến cả camera UniFi Protect và ứng dụng UniFi Protect – vốn được sử dụng phổ biến trong giám sát an ninh tại gia đình và doanh nghiệp. Điều này gây hoang mang cho các chủ sở hữu camera an ninh về sự cố mất quyền riêng tư có thể xảy ra.
Lỗi này phát sinh do tràn bộ đệm heap, cho phép thực thi mã từ xa (RCE) nếu kẻ tấn công có quyền truy cập vào mạng quản lý.
Ảnh hưởng:
- Cho phép thực thi mã tùy ý trên camera
- Có thể dẫn đến chiếm quyền điều khiển thiết bị, nghe lén hoặc truy cập sâu hơn vào hệ thống mạng
Khuyến cáo: Người dùng nên cập nhật firmware lên phiên bản 4.75.62 hoặc cao hơn để vá lỗi.
Ngoài ra còn có lỗ hổng thứ hai là CVE-2025-23164 (CVSS 4.4) tạo ra vấn đề trong cơ chế xác thực của UniFi Protect Application
Lỗi này là do cơ chế cấp quyền truy cập qua token trong ứng dụng UniFi Protect (phiên bản 5.3.41 trở xuống) được cấu hình sai, khiến người nhận link ‘Share Livestream’ vẫn có thể xem video ngay cả sau khi link bị thu hồi.
Khuyến cáo: Cập nhật ứng dụng lên phiên bản 5.3.45 trở lên để đảm bảo quyền truy cập được kiểm soát.
Theo Security Online