Katalog CVE

CVE-2026-57874

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na przepełnienie bufora w skrypcie IEEE8021x_upload.cgi. Problem wynika z braku odpowiedniego sprawdzania granic podczas przetwarzania wartości nazw plików w danych przesyłanych metodą multipart. Zdalny, nieuwierzytelniony atakujący może wykorzystać tę podatność, wysyłając spreparowane żądanie uploadu z nadmiernie długimi danymi, co prowadzi do uszkodzenia pamięci i odmowy usługi (DoS).

Ocena ryzyka

Ryzyko polega na możliwości zdalnego spowodowania awarii urządzenia przez nieuwierzytelnionego atakującego, co może zakłócić działanie systemów monitoringu wizyjnego i innych usług zależnych od tych kamer.

Rekomendacja

Zaleca się natychmiastową aktualizację oprogramowania sprzętowego (firmware) do wersji nowszej niż V1.12, jeśli jest dostępna. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do interfejsu zarządzania urządzeniem tylko do zaufanych sieci.

Oryginalny opis (angielski, źródło NVD)

An unauthenticated buffer overflow vulnerability exists in IEEE8021x_upload.cgi in GeoVision GV-LPC2011 and GV-LPC2211 V1.12 and earlier. The vulnerability is caused by insufficient bounds checking when parsing filename values in multipart upload data. A remote attacker may exploit this vulnerability by sending a crafted upload request with overly long input, causing memory corruption and resulting in a denial of service.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS