CVE-2026-57873
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych, w skrypcie IEEE8021x_upload.cgi występuje podatność na wyłuskanie wskaźnika NULL (NULL pointer dereference) bez uwierzytelnienia. Problem wynika z nieprawidłowej walidacji nagłówków przesyłania wieloczęściowego (multipart) podczas przetwarzania pól związanych z certyfikatami. Zdalny atakujący może wysłać spreparowane żądanie wieloczęściowe, powodując awarię procesu CGI i w efekcie odmowę usługi (DoS).
Ocena ryzyka
Ryzyko polega na możliwości zdalnego spowodowania awarii usługi bez konieczności uwierzytelniania, co może prowadzić do przerw w działaniu systemu monitoringu lub kontroli dostępu.
Rekomendacja
Zaleca się natychmiastową aktualizację oprogramowania sprzętowego (firmware) do wersji nowszej niż V1.12, jeśli jest dostępna. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do interfejsu zarządzania urządzeniem tylko do zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
An unauthenticated NULL pointer dereference vulnerability exists in IEEE8021x_upload.cgi in GeoVision GV-LPC2011 and GV-LPC2211 V1.12 and earlier. The vulnerability is caused by improper validation of multipart upload headers when processing certificate-related upload fields. A remote attacker may exploit this vulnerability by sending a malformed multipart request, causing the affected CGI process to crash and resulting in a denial of service.

