CVE-2017-14263

Опубликовано: 11 сент. 2017

Источник: nvd

CVSS3: 8.1

CVSS2: 9.3

EPSS Средний

Описание

Honeywell NVR devices allow remote attackers to create a user account in the admin group by leveraging access to a guest account to obtain a session ID, and then sending that session ID in a userManager.addUser request to the /RPC2 URI. The attacker can login to the device with that new user account to fully control the device.

Ссылки

https://github.com/zzz66686/Honeywell_NVR_vul
Third Party Advisory
https://github.com/zzz66686/Honeywell_NVR_vul
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:honeywell:enterprise_dvr_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:honeywell:enterprise_dvr:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:honeywell:maxpro_nvr_hybrid_se_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:honeywell:maxpro_nvr_hybrid_se:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:honeywell:maxpro_nvr_hybrid_xe_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:honeywell:maxpro_nvr_hybrid_xe:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:honeywell:maxpro_nvr_se_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:honeywell:maxpro_nvr_se:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:honeywell:maxpro_nvr_xe_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:honeywell:maxpro_nvr_xe:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:honeywell:fusion_iv_rev_c_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:honeywell:fusion_iv_rev_c:-:*:*:*:*:*:*:*

Конфигурация 7

Одновременно

cpe:2.3:o:honeywell:maxpro_nvr_pe_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:honeywell:maxpro_nvr_pe:-:*:*:*:*:*:*:*

EPSS

Процентиль: 96%

0.24422

Средний

8.1 High

CVSS3

9.3 Critical

CVSS2

Дефекты

CWE-384

Связанные уязвимости

GHSA-g8vq-9qgg-p683

CVSS3: 8.1

github

больше 3 лет назад

EPSS

Процентиль: 96%

0.24422

Средний

8.1 High

CVSS3

9.3 Critical

CVSS2

Дефекты

CWE-384