Katalog CVE

CVE-2026-57872

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.97%

Percentyl 57 — wyżej niż 57% wszystkich znanych CVE

Streszczenie

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na nieuwierzytelniony atak typu directory traversal w komponencie get_fcont.cgi. Luka wynika z niewystarczającej walidacji ścieżki pliku podanej przez użytkownika przed uzyskaniem dostępu do żądanego pliku przez CGI. Zdalny atakujący może wysłać spreparowane żądanie w celu odczytu dowolnych plików dostępnych dla procesu, co prowadzi do ujawnienia informacji.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego odczytu wrażliwych plików systemowych, takich jak konfiguracje, hasła czy dane logowania, co może umożliwić dalszą eskalację ataku.

Rekomendacja

Zaleca się natychmiastową aktualizację oprogramowania sprzętowego (firmware) do wersji nowszej niż V1.12, a jeśli taka nie jest dostępna, ograniczenie dostępu do interfejsu CGI tylko dla zaufanych sieci lub zastosowanie zapory sieciowej blokującej nieautoryzowane żądania.

Oryginalny opis (angielski, źródło NVD)

An unauthenticated directory traversal vulnerability exists in get_fcont.cgi in GeoVision GV-LPC2011 and GV-LPC2211 V1.12 and earlier. The vulnerability is caused by insufficient validation of user-supplied file path input before the requested file is accessed by the CGI component. A remote attacker may exploit this vulnerability by sending a crafted request to read arbitrary files accessible to the affected process, resulting in information disclosure.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS