CVE-2026-57876
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych, w pliku onvif.cgi występuje podatność na zapis poza dozwolonym zakresem pamięci. Brak odpowiedniego sprawdzania granic podczas przetwarzania danych w żądaniu HTTP umożliwia nieuwierzytelnionemu atakującemu zdalne spowodowanie uszkodzenia pamięci i odmowy usługi (DoS) poprzez wysłanie spreparowanego żądania z nadmierną ilością danych.
Ocena ryzyka
Atakujący może zdalnie doprowadzić do awarii urządzenia, co skutkuje przerwaniem działania systemu monitoringu wizyjnego i potencjalną utratą nagrań.
Rekomendacja
Należy niezwłocznie zaktualizować oprogramowanie sprzętowe (firmware) urządzeń GeoVision GV-LPC2011 i GV-LPC2211 do wersji nowszej niż V1.12, jeśli producent udostępnił łatkę. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu onvif.cgi tylko do zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
An unauthenticated out-of-bounds write vulnerability exists in onvif.cgi in GeoVision GV-LPC2011 and GV-LPC2211 V1.12 and earlier. The vulnerability is caused by insufficient bounds checking when processing HTTP request body data. A remote attacker may exploit this vulnerability by sending a crafted request with excessive input, causing memory corruption and resulting in a denial of service.

