CVE-2026-12848
KrytyczneCVSS 10.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
GV-I/O Box 4E to inteligentne urządzenie wbudowane, które obsługuje komunikację przez Ethernet i RS-485. Usługa DVRSearch, działająca domyślnie na porcie 10001, jest podatna na przepełnienie bufora stosu, co może być wykorzystane przez atakującego do wykonania złośliwego kodu.
Ocena ryzyka
Atakujący w sieci może wysłać odpowiednio skonstruowaną wiadomość UDP, co prowadzi do przepełnienia bufora i potencjalnego przejęcia kontroli nad urządzeniem. To stwarza poważne zagrożenie dla bezpieczeństwa sieci i danych.
Rekomendacja
Zaleca się zablokowanie dostępu do portu 10001 oraz aktualizację oprogramowania urządzenia, aby załatać tę podatność. Należy również monitorować ruch sieciowy w celu wykrycia potencjalnych prób ataku.
Oryginalny opis (angielski, źródło NVD)
GV-I/O Box 4E is a smart embedded device with 4 input and 4 relays output that can be controlled over Ethernet and RS-485. DVRSearch is a service running by default on the IOBox listening for UDP messages on port 10001. Any user on the network can send messages to this service and interact with it. Upon receiving a UDP message, the server reads at most 1460 bytes into a local buffer and a pointer to the buffer is stored in a global variable: #### DNS field stack overflow The following code is vulnerable to a stack overflow that is attacker-controlled: v8 = strlen(g_network_config->dns_addr); memcpy(&reply_buf[248], g_network_config->dns_addr, v8);

