CVE-2024-8956

2024. november 7. 15:22

PTZOptics kamerák sérülékenysége
Angol cím: PTZOptics Cameras Vulnerability

Publikálás dátuma: 2024.09.17.
Utolsó módosítás dátuma: 2024.11.04.

A sérülékenység aktívan kihasználtként volt megjelölve az alábbi dátumtartományra vonatkozóan: 2024.11.04. – 2024.11.25.

Leírás

Adott identitás igénylés esetén, a program nem vagy nem megfelelően igazolja vissza az igény valódiságát.

Leírás forrása: CWE-287

Elemzés leírás

Eredeti nyelven: PTZOptics PT30X-SDI/NDI-xx before firmware 6.3.40 is vulnerable to an insufficient authentication issue. The camera does not properly enforce authentication to /cgi-bin/param.cgi when requests are sent without an HTTP Authorization header. The result is a remote and unauthenticated attacker can leak sensitive data such as usernames, password hashes, and configurations details. Additionally, the attacker can update individual configuration values or overwrite the whole file.

Elemzés leírás forrása: CVE-2024-8956

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 9.1 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Impact Score: 5.2
Exploitability Score: 3.9

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): None