CVE-2025-2764

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-2764
CarlinKit CPC200-CCPA update.cgi Improper Verification of Cryptographic Signature Code Execution Vulnerability. This vulnerability allows network-adjacent attackers to execute arbitrary code on affected installations of CarlinKit CPC200-CCPA devices. Although authentication is required to exploit this vulnerability, the existing authentication mechanism can be bypassed. The specific flaw exists within the handling of update packages provided to update.cgi. The issue results from the lack of proper verification of a cryptographic signature. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-24355.

8.0 /10

CVSS v3 : HIGH

V3 Legend

Vector : AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Exploitability : 2.1 / Impact : 5.9

Attack Vector ADJACENT_NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://www.zerodayinitiative.com/advisories/ZDI-25-178/
Configurations

No configuration.

History

29 Apr 2025, 13:52

Type Values Removed Values Added
Summary
  • (es) Vulnerabilidad de ejecución de código de verificación incorrecta de firma criptográfica en CarlinKit CPC200-CCPA update.cgi. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en instalaciones afectadas de dispositivos CarlinKit CPC200-CCPA. Si bien se requiere autenticación para explotar esta vulnerabilidad, el mecanismo de autenticación existente puede eludirse. La falla específica se encuentra en la gestión de los paquetes de actualización proporcionados a update.cgi. El problema se debe a la falta de verificación adecuada de una firma criptográfica. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root. Anteriormente, se denominó ZDI-CAN-24355.

23 Apr 2025, 17:16

Type Values Removed Values Added
New CVE
Information

Published : 2025-04-23 17:16

Updated : 2025-04-29 13:52

NVD link : CVE-2025-2764

Mitre link : CVE-2025-2764

CVE.ORG link : CVE-2025-2764

JSON object : View

Products Affected

No product.

CWE
CWE-347

Improper Verification of Cryptographic Signature