CRITICAL🇬🇧 English

CVE-2024-26548

RCE w Vivotek Network Camera poprzez komponent upload_file.cgi

CVSS 9.8v3.1pub. 2024-02-29upd. 2025-05-13

Podatność w kamerze sieciowej Vivotek FD8166A umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Ze względu na sieciowy charakter ataku i krytyczny wynik CVSS 9.8, stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury.

Pokaż oryginał (EN)

An issue in vivotek Network Camera v.FD8166A-VVTK-0204j allows a remote attacker to execute arbitrary code via a crafted payload to the upload_file.cgi component.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowany payload do komponentu upload_file.cgi dostępnego na urządzeniu. Komponent ten nie waliduje prawidłowo przesyłanych danych, co pozwala na wykonanie dowolnego kodu po stronie urządzenia. Atak może być przeprowadzony zdalnie, bez konieczności posiadania jakichkolwiek poświadczeń dostępu.

Skutki

Atakujący może uzyskać pełną kontrolę nad urządzeniem, wykonując dowolny kod z jego poziomu. Skutkiem może być naruszenie poufności i integralności danych oraz całkowita utrata dostępności kamery.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do interfejsu zarządzania kamerą poprzez firewall lub segmentację sieci, aby zminimalizować ekspozycję na potencjalnych atakujących.

Kogo dotyczy

Vivotek Network Camera FD8166A z oprogramowaniem sprzętowym w wersji VVTK-0204j

Uwagi

Analiza podatności wraz z dowodem koncepcji została opublikowana w repozytorium GitHub użytkownika cwh031600. Opis w repozytorium sugeruje możliwość wywołania stanu DoS jako dodatkowy skutek ataku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Vivotek Camera

    HW
    Vivotek
    wszystkie wersje
  • Vivotek Camera Firmware

    OS
    Vivotek
    v.fd8166a-vvtk-0204j
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2019-10256CRITICAL9.8ten sam produkt

An authentication bypass vulnerability in VIVOTEK IPCam versions prior to 0x13a was found.

CVE-2019-14457CRITICAL9.8ten sam produkt

VIVOTEK IP Camera devices with firmware before 0x20x have a stack-based buffer overflow via a crafted HTTP hea...

CVE-2019-14458HIGH7.5ten sam produkt

VIVOTEK IP Camera devices with firmware before 0x20x allow a denial of service via a crafted HTTP header.

CVE-2018-14769HIGH8.8ten sam produkt

VIVOTEK FD8177 devices before XXXXXX-VVTK-xx06a allow CSRF.

CVE-2018-14770HIGH8.8ten sam produkt

VIVOTEK FD8177 devices before XXXXXX-VVTK-xx06a allow remote attackers to execute arbitrary code (issue 1 of 2...

CVE-2024-26548 — RCE w Vivotek Network Camera poprzez komponent upload_file.cgi — CRITICAL 9.8 | CVEbaza.pl