Plataforma
other
Componente
vapix-device-configuration-framework
Corregido en
12.4.0
Se ha descubierto una vulnerabilidad de elevación de privilegios en el framework VAPIX Device Configuration de Axis Communication. Esta falla permite a un usuario con privilegios limitados obtener acceso de administrador, comprometiendo la seguridad del dispositivo. La vulnerabilidad afecta a las versiones 12.0.0 hasta la 12.4.0. Una actualización a la versión 12.4.0 soluciona el problema.
Un atacante que explote esta vulnerabilidad podría obtener control total sobre el dispositivo Axis afectado. Esto implica la capacidad de modificar la configuración del dispositivo, acceder a datos confidenciales almacenados en él, e incluso utilizar el dispositivo como punto de apoyo para atacar otros sistemas en la red. La elevación de privilegios permite eludir los controles de seguridad estándar, lo que podría resultar en una brecha de seguridad significativa. La falta de autenticación robusta en ciertas funciones del framework VAPIX Device Configuration es la raíz del problema, permitiendo a un usuario no autorizado escalar sus privilegios.
La vulnerabilidad fue descubierta durante una prueba de penetración anual realizada por Truesec en nombre de Axis Communication. No se han reportado activamente campañas de explotación públicas a la fecha. La vulnerabilidad ha sido publicada el 2 de junio de 2025. La severidad se considera alta debido al potencial impacto de la elevación de privilegios.
Organizations utilizing Axis devices with the VAPIX Device Configuration framework in versions 12.0.0 through 12.4.0 are at risk. This includes deployments in surveillance systems, building management systems, and other applications where Axis devices are integrated. Legacy configurations with default or weak passwords are particularly vulnerable.
disclosure
Estado del Exploit
EPSS
0.18% (40% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el firmware del dispositivo Axis a la versión 12.4.0 o superior, donde se ha corregido la falla. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente los permisos de usuario y restringir el acceso a funciones críticas del framework VAPIX Device Configuration. Implementar reglas de firewall para limitar el acceso externo al dispositivo también puede ayudar a reducir el riesgo. Si se sospecha de una intrusión, se recomienda realizar un análisis forense del sistema para identificar y eliminar cualquier malware o configuración maliciosa.
Actualice AXIS OS a la versión 12.4.0 o superior. Esta actualización corrige la vulnerabilidad de escalada de privilegios en el framework VAPIX Device Configuration. Consulte el aviso de seguridad de Axis Communications para obtener más detalles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0358 is a vulnerability allowing a lower-privileged user to gain administrator access on Axis devices running the VAPIX Device Configuration framework.
You are affected if you are using Axis VAPIX Device Configuration framework versions 12.0.0 through 12.4.0.
Upgrade to version 12.4.0 or later to resolve the vulnerability. Implement stricter access controls as an interim measure.
There is currently no indication of active exploitation, but the vulnerability's nature suggests it could be exploited once a PoC is released.
Refer to the official Axis security advisory for detailed information and updates: [https://www.axis.com/support/security-advisories](https://www.axis.com/support/security-advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.