2026年1月9日、ポーランドのセキュリティ機関であるCERT Polskaは、Vivotek製ネットワークカメラ「IP7137」のファームウェアに複数の深刻な脆弱性が存在すると公表しました。
これらの脆弱性は、CERT Polskaに報告された情報をもとに調整・公開されたもので、合計4件のCVEが割り当てられています。
対象となるのは、IP7137のファームウェアバージョン「0200a」で、製品はすでにEOL(サポート終了)に達していることから、修正パッチの提供は期待できない状況とされています。
目次
認証なしで映像を閲覧可能となる情報漏えいの脆弱性(CVE-2025-66049)
CVE-2025-66049は、IP7137において認証を必要とせずにライブ映像へアクセスできる情報漏えいの脆弱性です。
RTSPプロトコル(ポート8554)経由でカメラ映像を取得できてしまうため、ネットワークに接続可能な第三者が、利用者に気付かれないまま映像を閲覧できる可能性があります。
この問題は、設置環境によってはプライバシー侵害や監視情報の漏えいにつながるおそれがあり、物理的な安全管理にも影響を及ぼしかねません。
管理者アカウントにデフォルトパスワードが設定されていない問題(CVE-2025-66050)
CVE-2025-66050では、IP7137の管理者アカウントに初期状態でパスワードが設定されていないという設計上の問題が指摘されています。
パスワードを設定すること自体は可能ですが、利用者に対して設定の必要性が明示されておらず、結果として管理者権限が無防備な状態で運用されるケースが想定されます。
この脆弱性は、後述する他の管理者権限を前提とした攻撃を成立させる要因にもなっています。
パストラバーサルによる不正ファイルアクセスの脆弱性(CVE-2025-66051)
CVE-2025-66051は、**パストラバーサル(ディレクトリトラバーサル)**の脆弱性です。
認証済みの攻撃者が細工したHTTPリクエストを送信することで、本来アクセスできないはずのWebルート外のリソースにアクセスできる可能性があります。
管理者権限が容易に取得できる環境では、設定情報や内部ファイルの不正取得につながるリスクがあります。
OSコマンドインジェクションの脆弱性(CVE-2025-66052)
CVE-2025-66052は、管理用エンドポイント「/cgi-bin/admin/setparam.cgi」におけるOSコマンドインジェクションの脆弱性です。
パラメータ「system_ntpIt」が適切にサニタイズされておらず、管理者権限を持つ利用者が任意のコマンドを実行できる可能性があります。
前述のとおり、管理者アカウントがデフォルトで保護されていない設計であるため、結果として外部の第三者が管理者権限を取得し、コマンド実行に至るリスクが否定できません。
ベンダー未対応・EOL製品である点に注意
CERT Polskaによると、本件についてベンダーからの正式な回答は確認されておらず、検証されたファームウェアは「0200a」のみであるものの、他のバージョンも影響を受ける可能性があるとされています。
また、IP7137はすでにEOL製品であるため、修正ファームウェアが提供される見込みはないと考えられています。
関連:Insecamとは 世界のWEBカメラ/監視カメラを閲覧できるサイト
利用者に求められる対応
本製品を現在も運用している場合、以下の対応が強く推奨されます。
-
インターネットや外部ネットワークからの直接アクセスを遮断する
-
管理用インターフェースへのアクセスを限定する(ファイアウォール等)
-
可能であれば、後継製品やサポート継続中の機器への早期リプレースを検討する
特にネットワークカメラは、侵害された場合の影響が物理的・現実世界に及ぶ可能性があるため、EOL機器を継続利用するリスクを改めて見直す必要があります。







