exploitDog

CVE-2020-6768

Опубликовано: 07 фев. 2020

Источник: nvd

CVSS3: 8.6

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

A path traversal vulnerability in the Bosch Video Management System (BVMS) NoTouch deployment allows an unauthenticated remote attacker to read arbitrary files from the Central Server. This affects Bosch BVMS versions 10.0 <= 10.0.0.1225, 9.0 <= 9.0.0.827, 8.0 <= 8.0.329 and 7.5 and older. This affects Bosch BVMS Viewer versions 10.0 <= 10.0.0.1225, 9.0 <= 9.0.0.827, 8.0 <= 8.0.329 and 7.5 and older. This affects Bosch DIVAR IP 3000, DIVAR IP 7000 and DIVAR IP all-in-one 5000 if a vulnerable BVMS version is installed.

Ссылки

https://psirt.bosch.com/security-advisories/bosch-sa-815013-bt.html
Patch
Vendor Advisory
https://psirt.bosch.com/security-advisories/bosch-sa-815013-bt.html
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:bosch:video_management_system_viewer:*:*:*:*:*:*:*:*

Версия до 7.5 (включая)

cpe:2.3:a:bosch:video_management_system_viewer:*:*:*:*:*:*:*:*

Версия от 8.0 (включая) до 8.0.329 (включая)

cpe:2.3:a:bosch:video_management_system_viewer:*:*:*:*:*:*:*:*

Версия от 9.0 (включая) до 9.0.0.827 (включая)

cpe:2.3:a:bosch:video_management_system_viewer:*:*:*:*:*:*:*:*

Версия от 10.0 (включая) до 10.0.0.1225 (включая)

Конфигурация 2

Одновременно

Одно из

cpe:2.3:a:bosch:video_management_system:*:*:*:*:*:*:*:*

Версия до 7.5 (включая)

cpe:2.3:a:bosch:video_management_system:*:*:*:*:*:*:*:*

Версия от 8.0 (включая) до 8.0.0.329 (включая)

cpe:2.3:a:bosch:video_management_system:*:*:*:*:*:*:*:*

Версия от 9.0 (включая) до 9.0.0.827 (включая)

cpe:2.3:a:bosch:video_management_system:*:*:*:*:*:*:*:*

Версия от 10.0 (включая) до 10.0.0.1225 (включая)

cpe:2.3:h:bosch:divar_ip_3000:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

Одно из

cpe:2.3:a:bosch:video_management_system:*:*:*:*:*:*:*:*

Версия до 7.5 (включая)

cpe:2.3:a:bosch:video_management_system:*:*:*:*:*:*:*:*

Версия от 8.0 (включая) до 8.0.0.329 (включая)

cpe:2.3:a:bosch:video_management_system:*:*:*:*:*:*:*:*

Версия от 9.0 (включая) до 9.0.0.827 (включая)

cpe:2.3:a:bosch:video_management_system:*:*:*:*:*:*:*:*

Версия от 10.0 (включая) до 10.0.0.1225 (включая)

cpe:2.3:h:bosch:divar_ip_7000:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

Одно из

cpe:2.3:a:bosch:video_management_system:*:*:*:*:*:*:*:*

Версия до 7.5 (включая)

cpe:2.3:a:bosch:video_management_system:*:*:*:*:*:*:*:*

Версия от 8.0 (включая) до 8.0.0.329 (включая)

cpe:2.3:a:bosch:video_management_system:*:*:*:*:*:*:*:*

Версия от 9.0 (включая) до 9.0.0.827 (включая)

cpe:2.3:a:bosch:video_management_system:*:*:*:*:*:*:*:*

Версия от 10.0 (включая) до 10.0.0.1225 (включая)

cpe:2.3:h:bosch:divar_ip_all-in-one_5000:-:*:*:*:*:*:*:*

EPSS

Процентиль: 81%

0.01605

Низкий

8.6 High

CVSS3

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-22

CWE-22

Связанные уязвимости

GHSA-wvf8-59x6-559j

github

больше 3 лет назад

A path traversal vulnerability in the Bosch Video Management System (BVMS) NoTouch deployment allows an unauthenticated remote attacker to read arbitrary files from the Central Server. This affects Bosch BVMS versions 10.0 <= 10.0.0.1225, 9.0 <= 9.0.0.827, 8.0 <= 8.0.329 and 7.5 and older. This affects Bosch BVMS Viewer versions 10.0 <= 10.0.0.1225, 9.0 <= 9.0.0.827, 8.0 <= 8.0.329 and 7.5 and older. This affects Bosch DIVAR IP 3000, DIVAR IP 7000 and DIVAR IP all-in-one 5000 if a vulnerable BVMS version is installed.

EPSS

Процентиль: 81%

0.01605

Низкий

8.6 High

CVSS3

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-22

CWE-22