TP-Link NVR 安全更新：命令注入漏洞可能导致远程代码执行

漏洞概述

TP-Link 近日发布安全公告，警告其 VIGI NVR1104H-4P V1 和 VIGI NVR2016H-16MP V2 两款网络视频录像机（NVR）设备存在两个关键的操作系统命令注入漏洞（CVE-2025-7723 和 CVE-2025-7724）。这两个漏洞的 CVSS 评分分别为 8.5 和 8.7 分，攻击者可利用它们在底层系统上执行任意命令。

TP-Link 在公告中强调："攻击者可能在设备的底层操作系统上执行任意命令。"

受影响版本及漏洞详情

• VIGI NVR1104H-4P V1：固件版本早于 1.1.5 Build 250518
• VIGI NVR2016H-16MP V2：固件版本早于 1.3.1 Build 250407

CVE-2025-7723是一个认证后命令注入漏洞。拥有有效凭证的攻击者可利用此漏洞执行恶意操作系统级命令。虽然需要认证，但在使用弱密码、共享密码或已泄露凭证的环境中仍构成严重威胁。

CVE-2025-7724更为危险，允许未经认证的攻击者在无需任何登录凭证的情况下利用系统。成功利用该漏洞将使攻击者获得底层操作系统的命令行访问权限，可能导致设备完全被控制、监控数据被篡改或在网络中横向移动。

解决方案

TP-Link 已为受影响 NVR 型号发布修复固件，强烈建议用户将设备升级至以下版本：

• VIGI NVR1104H-4P V1：1.1.5 Build 250518
• VIGI NVR2016H-16MP V2：1.3.1 Build 250407