Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad de ejecución remota de código en Tapo C200 de TP-LINK

Vulnerabilidad de ejecución remota de código en Tapo C200 de TP-LINK

Fecha de publicación: 
11/02/2022
Importancia: 
5 - Crítica
Recursos afectados: 

Tapo C200 versión 1.15 y anteriores.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en TP-Link Tapo C200, con el código interno INCIBE-2021-0601, que ha sido descubierta por Víctor Fresco Perales.

A esta vulnerabilidad se le ha asignado el código CVE-2021-4045. Se ha calculado una puntuación base CVSS v3.1 de 9,8, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.

Solución: 

Esta vulnerabilidad ya ha sido resuelta por TP-Link en la versión Tapo C200 1.1.16.

Detalle: 

La cámara IP TP-Link Tapo C200, en su versión de firmware 1.1.15 e inferior, está afectada por una vulnerabilidad RCE no autenticada, presente en el binario uhttpd que se ejecuta por defecto como root.

La explotación de esta vulnerabilidad permite a un atacante tomar el control total de la cámara.

CWE-77: neutralización inadecuada de elementos especiales utilizados en un comando ('Command Injection').

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración