A CISA divulgou em 18 de junho de 2026 o aviso ICSA-26-169-01 alertando para a falha CVE-2026-40624, com gravidade crítica CVSS 9.8, que afeta as câmeras de videoconferência AVer PTC500S, PTC115, PTC500+ e PTC115+. A vulnerabilidade permite que um atacante remoto e não autenticado execute código arbitrário por meio de uma requisição web especialmente crafted, ameaçando ambientes governamentais, comerciais e de saúde em todo o mundo.
O que é o CVE-2026-40624
A falha reside em uma validação inadequada de entradas (CWE-552 — arquivos ou diretórios acessíveis a partes externas) na interface web das câmeras AVer PTC. Por estar exposta sem exigir autenticação prévia, qualquer atacante que consiga alcançar o dispositivo pela rede — incluindo a internet, em configurações indevidas — pode enviar um payload manipulado e assumir o controle completo do equipamento, obtendo confidencialidade, integridade e disponibilidade comprometidas de uma só vez.
O vetor CVSS 3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H confirma o pior cenário: exploração remota, baixa complexidade, sem privilégios e sem interação do usuário. A versão CVSS 4.0 também classifica o problema como crítico (9.3).
Equipamentos afetados
| Modelo | Versões | CVE | CVSS |
|---|---|---|---|
| AVer PTC500S | Todas | CVE-2026-40624 | 9.8 |
| AVer PTC115 | Todas | CVE-2026-40624 | 9.8 |
| AVer PTC500+ | Todas | CVE-2026-40624 | 9.8 |
| AVer PTC115+ | Todas | CVE-2026-40624 | 9.8 |
A CISA lista como setores críticos afetados Serviços e Instalações Governamentais, Instalações Comerciais e Saúde Pública, com dispositivos implantados mundialmente. O quartel-general da AVer fica em Taiwan.
Como ocorre a exploração
As câmeras PTC são equipamentos de conferência Pan-Tilt-Zoom (PTZ) frequentemente expostos a redes acessíveis para permitir gestão remota de salas de reunião e auditoriums. A falha permite que o atacante, sem credenciais, acesse rotas internas do firmware por uma requisição HTTP crafted e dispare execução de comandos no sistema embarcado — abrindo caminho para persistência, espionagem de áudio e vídeo, ou uso como ponto de pivô para outros ataques na rede interna.
Casos recentes mostram que falhas similares em dispositivos IoT e de vídeo contribuem para campanhas maiores. A vulnerabilidade CVSS 10 da Ubiquiti e os zero-days do Google Chrome em 2026 reforçam o padrão de exploração rápida de falhas críticas não corrigidas.
Como se proteger
- Atualize o firmware imediatamente: a AVer liberou correção no portal oficial de download do fabricante.
- Isole as câmeras da internet: mantenha os dispositivos apenas em VLANs de IoT/videoconferência, atrás de firewall, sem exposição pública.
- Use VPN para acesso remoto: nunca exponha a interface web diretamente; priorize acesso via VPN atualizada.
- Monitore tráfego anômalo: configure alertas para requisições HTTP suspeitas e conexões de saída não esperadas das câmeras.
- Audite inventário de dispositivos: identifique todos os modelos PTC na rede e confirme versão do firmware aplicado.