CRITICAL🇬🇧 English

CVE-2026-42368

Privilege escalation w interfejsie Web GeoVision LPC2011/LPC2211

CVSS 9.9v3.1pub. 2026-05-04upd. 2026-06-15

W urządzeniach GeoVision LPC2011 i LPC2211 (firmware 1.10) wykryto krytyczną podatność typu privilege escalation w interfejsie webowym. Atakujący z dostępem do konta o niskich uprawnieniach może poprzez specjalnie spreparowane żądanie HTTP wykonać operacje wymagające uprawnień administracyjnych.

Pokaż oryginał (EN)

A privilege escalation vulnerability exists in the Web Interface functionality of GeoVision LPC2011/LPC2211 1.10. A specially crafted HTTP request can lead to execute priviledged operation. An attacker can visit a webpage to trigger this vulnerability.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej weryfikacji uprawnień (CWE-266) w warstwie interfejsu webowego urządzenia. Atakujący uwierzytelniony jako użytkownik o niskim poziomie uprawnień może wysłać specjalnie spreparowane żądanie HTTP, które powoduje wykonanie operacji zastrzeżonych dla administratora. Do wywołania podatności wystarczy odwiedzenie odpowiednio przygotowanej strony lub wysłanie żądania do określonego endpointu webowego bez konieczności interakcji po stronie ofiary.

Skutki

Atakujący może uzyskać pełną kontrolę nad urządzeniem, wykonując uprzywilejowane operacje — co przy wektorze o zasięgu zmienionym (Scope: Changed) może skutkować kompromitacją poufności, integralności i dostępności zarówno samego urządzenia, jak i systemów z nim powiązanych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.geovision.com.tw/cyber_security.php). Dodatkowo zaleca się ograniczenie dostępu do interfejsu webowego urządzeń wyłącznie do zaufanych sieci oraz wdrożenie mechanizmów uwierzytelniania wieloskładnikowego tam, gdzie jest to możliwe.

Kogo dotyczy

GeoVision GV-LPC2011 oraz GV-LPC2211 z firmware w wersji 1.10

Uwagi

Podatność dotyczy urządzeń klasy LPC (License Plate Capture), tj. kamer do odczytu tablic rejestracyjnych, które często są wdrażane w infrastrukturze krytycznej, parkingach i systemach kontroli dostępu. Wektor CVSS wskazuje na atak sieciowy bez konieczności interakcji użytkownika (UI:N), co zwiększa ryzyko masowego wykorzystania po ewentualnym opublikowaniu exploitu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Geovision Gv Lpc2011

    HW
    Geovision
    wszystkie wersje
  • Geovision Gv Lpc2011 Firmware

    OS
    Geovision
    1.10
  • Geovision Gv Lpc2211

    HW
    Geovision
    wszystkie wersje
  • Geovision Gv Lpc2211 Firmware

    OS
    Geovision
    1.10
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2026-42364CRITICAL9.9PL ✓ten sam produkt

Command injection w GeoVision LPC2011/LPC2211 via konfiguracja DDNS

CVE-2026-42365HIGH8.6ten sam produkt

A guessable session cookie vulnerability exists in the Web Interface functionality of GeoVision LPC2011/LPC221...

CVE-2026-42366HIGH7.4ten sam produkt

Multiple reflected cross-site scripting (xss) vulnerabilities exist in the Web Interface / ssi.cgi functionali...

CVE-2026-7371HIGH7.4ten sam produkt

Multiple reflected cross-site scripting (xss) vulnerabilities exist in the Web Interface / ssi.cgi functionali...

CVE-2026-42367MEDIUM6.5ten sam produkt

A privilege escalation vulnerability exists in the Web Interface / ssi.cgi functionality of GeoVision LPC2011/...

CVE-2026-42368 — Privilege escalation w interfejsie Web GeoVision LPC2011/LPC2211 — CRITICAL 9.9 | CVEbaza.pl