CVE-2017-9828

Опубликовано: 23 июн. 2017

Источник: nvd

CVSS3: 9.8

CVSS2: 10

EPSS Средний

Описание

'/cgi-bin/admin/testserver.cgi' of the web service in most of the VIVOTEK Network Cameras is vulnerable to shell command injection, which allows remote attackers to execute any shell command as root via a crafted HTTP request. This vulnerability is already verified on VIVOTEK Network Camera IB8369/FD8164/FD816BA; most others have similar firmware that may be affected. An attack uses shell metacharacters in the senderemail parameter.

Ссылки

https://blog.cal1.cn/post/An%20easy%20way%20to%20pwn%20most%20of%20the%20vivotek%20network%20cameras
Third Party Advisory
https://blog.cal1.cn/post/An%20easy%20way%20to%20pwn%20most%20of%20the%20vivotek%20network%20cameras
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:vivotek:network_camera_ib8369_firmware:ib8369-vvtk-0102a:*:*:*:*:*:*:*

cpe:2.3:h:vivotek:network_camera_ib8369:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:vivotek:network_camera_fd8164_firmware:fd8164-_vvtk-0200b:*:*:*:*:*:*:*

cpe:2.3:h:vivotek:network_camera_fd8164:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:vivotek:network_camera_fd816ba_firmware:fd816ba-vvtk-010101.:*:*:*:*:*:*:*

cpe:2.3:h:vivotek:network_camera_fd816ba:-:*:*:*:*:*:*:*

EPSS

Процентиль: 98%

0.58307

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-78

Связанные уязвимости

GHSA-mcp7-747p-3h68

CVSS3: 9.8

github

больше 3 лет назад

BDU:2017-01866

fstec

больше 8 лет назад

Уязвимость в /cgi-bin/admin/testserver.cgi' веб-службы микропрограммного обеспечения сетевых камер видеонаблюдения Network Camera IB8369, FD8164 и FD816BA, позволяющая нарушителю выполнить любую команду shell с правами суперпользователя

EPSS

Процентиль: 98%

0.58307

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-78