文章总结： CISA将DigieverNVR的RCE漏洞CVE-2023-52163列入已知被利用目录。该漏洞遭活跃利用传播Mirai僵尸网络，且因设备停产暂无补丁。建议用户修改默认密码并避免设备暴露公网，CISA要求相关机构限期采取缓解措施或停用以防攻击。 综合评分： 78 文章分类： 漏洞预警,漏洞分析,IoT安全

CISA 将已遭利用的 Digiever NVR RCE漏洞纳入KEV

Ravie Lakshmanan

代码卫士

2025年12月29日 18:46 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

美国网络安全和基础设施安全局（CISA）将Digiever DS-2105 Pro网络视频录像机（NVR）中的漏洞CVE-2023-52163（CVSS评分8.8）纳入其已知可利用漏洞（KEV）目录，并指出该漏洞已遭活跃利用。

该漏洞与一个可导致攻击者在通过身份验证后远程执行代码的命令注入漏洞有关。CISA表示：”Digiever DS-2105 Pro中存在授权缺失漏洞，攻击者可通过 time_tzsetup.cgi 接口实施命令注入攻击。”

CISA将CVE-2023-52163纳入KEV目录，源于Akamai和Fortinet等机构发布多份报告指出，威胁行动者正利用该漏洞传播Mirai和ShadowV2等僵尸网络。TXOne Research公司的安全研究员Ta-Lun Yen指出，由于该设备已达到生命周期，该漏洞和一个任意文件读取漏洞（CVE-2023-52164，CVSS评分：5.1）至今仍未修复。

成功利用该漏洞需要攻击者先登录设备并发送特殊构造的请求。在官方补丁发布前，建议用户避免将该设备暴露于公网，并修改默认用户名和密码。CISA同时建议联邦民事行政部门（FCEB）机构在2025年1月12日前采取必要的缓解措施或停止使用该产品，保护其网络免受活跃威胁。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

React2Shell：30家机构已受陷77k IP地址易受影响，被列入 CISA KEV

CISA 将 OpenPLC ScadaBR 纳入必修清单

CISA要求政府机构在7天内修复这个 Fortinet 新0day

CISA：CWP严重漏洞已遭在野利用

CISA和NSA分享如何保护微软 Exchange 服务器

原文链接

https://thehackernews.com/2025/12/cisa-flags-actively-exploited-digiever.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ravie Lakshmanan《CISA 将已遭利用的 Digiever NVR RCE漏洞纳入KEV》