Katalog CVE

CVE-2026-12846

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.43%

Percentyl 34 — wyżej niż 34% wszystkich znanych CVE

Streszczenie

GV-I/O Box 4E to inteligentne urządzenie wbudowane, które jest podatne na przepełnienie stosu w wyniku nieprawidłowego przetwarzania wiadomości UDP. Atakujący może wysłać odpowiednio skonstruowaną wiadomość, co może prowadzić do nieautoryzowanego dostępu lub awarii urządzenia.

Ocena ryzyka

Podatność ta stwarza ryzyko dla bezpieczeństwa sieci, ponieważ każdy użytkownik w sieci może wysłać wiadomości do usługi DVRSearch, co może prowadzić do przejęcia kontroli nad urządzeniem lub jego destabilizacji.

Rekomendacja

Zaleca się zablokowanie dostępu do portu 10001 na zaporze sieciowej oraz aktualizację oprogramowania urządzenia, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

GV-I/O Box 4E is a smart embedded device with 4 input and 4 relays output that can be controlled over Ethernet and RS-485. DVRSearch is a service running by default on the IOBox listening for UDP messages on port 10001. Any user on the network can send messages to this service and interact with it. Upon receiving a UDP message, the server reads at most 1460 bytes into a local buffer and a pointer to the buffer is stored in a global variable: #### Net Mask field stack overflow The following code is vulnerable to a stack overflow that is attacker-controlled: v6 = strlen(g_network_config->net_mask); memcpy(&reply_buf[184], g_network_config->net_mask, v6);

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS