CRITICAL🇬🇧 English

CVE-2026-42364

Command injection w GeoVision LPC2011/LPC2211 via konfiguracja DDNS

CVSS 9.9v3.1pub. 2026-05-04upd. 2026-06-15

Podatność typu OS command injection w oprogramowaniu urządzeń GeoVision LPC2011 i LPC2211 (wersja firmware 1.10) umożliwia zdalne wykonanie dowolnych poleceń systemowych. Ze względu na krytyczny poziom CVSS 9.9 oraz brak wymagań co do uprawnień użytkownika i interakcji ofiary, stanowi poważne zagrożenie dla bezpieczeństwa sieci.

Pokaż oryginał (EN)

An os command injection vulnerability exists in the DdnsSetting.cgi functionality of GeoVision LPC2011/LPC2211 1.10. A specially crafted DDNS configuration can lead to arbitrary command execution. An attacker can modify a configuration value to trigger this vulnerability.

🤖 Analiza AI
Jak działa

Podatność występuje w komponencie DdnsSetting.cgi odpowiedzialnym za obsługę konfiguracji DDNS. Atakujący z dostępem sieciowym może przesłać specjalnie spreparowaną konfigurację DDNS zawierającą złośliwe dane wejściowe. Niewystarczająca walidacja wartości konfiguracyjnych powoduje, że dane te są przekazywane bezpośrednio do wywołania systemowego powłoki (OS command injection), co skutkuje wykonaniem dowolnych poleceń w kontekście urządzenia.

Skutki

Atakujący może zdalnie wykonać dowolne polecenia systemowe na podatnym urządzeniu, uzyskując pełną kontrolę nad jego działaniem, a potencjalnie również nad siecią, do której jest ono podłączone — w tym możliwość odczytu i modyfikacji danych oraz naruszenia dostępności usług.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.geovision.com.tw/cyber_security.php). Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do interfejsu zarządzania urządzeń wyłącznie do zaufanych hostów oraz izolację urządzeń w dedykowanym segmencie sieci.

Kogo dotyczy

GeoVision GV-LPC2011 i GV-LPC2211 z oprogramowaniem firmware w wersji 1.10

Uwagi

Podatność została zgłoszona przez Cisco Talos Intelligence (referencja: talosintelligence.com). Wektor ataku sieciowy z niskim poziomem wymaganych uprawnień (PR:L) i zmienionego zakresu (S:C) wskazuje, że zagrożony może być nie tylko sam host, lecz również inne systemy w sieci.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Geovision Gv Lpc2011

    HW
    Geovision
    wszystkie wersje
  • Geovision Gv Lpc2011 Firmware

    OS
    Geovision
    1.10
  • Geovision Gv Lpc2211

    HW
    Geovision
    wszystkie wersje
  • Geovision Gv Lpc2211 Firmware

    OS
    Geovision
    1.10
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2026-42368CRITICAL9.9PL ✓ten sam produkt

Privilege escalation w interfejsie Web GeoVision LPC2011/LPC2211

CVE-2026-42365HIGH8.6ten sam produkt

A guessable session cookie vulnerability exists in the Web Interface functionality of GeoVision LPC2011/LPC221...

CVE-2026-42366HIGH7.4ten sam produkt

Multiple reflected cross-site scripting (xss) vulnerabilities exist in the Web Interface / ssi.cgi functionali...

CVE-2026-7371HIGH7.4ten sam produkt

Multiple reflected cross-site scripting (xss) vulnerabilities exist in the Web Interface / ssi.cgi functionali...

CVE-2026-42367MEDIUM6.5ten sam produkt

A privilege escalation vulnerability exists in the Web Interface / ssi.cgi functionality of GeoVision LPC2011/...

CVE-2026-42364 — Command injection w GeoVision LPC2011/LPC2211 via konfiguracja DDNS — CRITICAL 9.9 | CVEbaza.pl