Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-6959

Опубликовано: 22 янв. 2020
Источник: nvd
CVSS3: 9.8
CVSS2: 7.5
EPSS Низкий

Описание

The following versions of MAXPRO VMS and NVR, MAXPRO VMS:HNMSWVMS prior to Version VMS560 Build 595 T2-Patch, HNMSWVMSLT prior to Version VMS560 Build 595 T2-Patch, MAXPRO NVR: MAXPRO NVR XE prior to Version NVR 5.6 Build 595 T2-Patch, MAXPRO NVR SE prior to Version NVR 5.6 Build 595 T2-Patch, MAXPRO NVR PE prior to Version NVR 5.6 Build 595 T2-Patch, and MPNVRSWXX prior to Version NVR 5.6 Build 595 T2-Patch are vulnerable to an unsafe deserialization of untrusted data. An attacker may be able to remotely modify deserialized data without authentication using a specially crafted web request, resulting in remote code execution.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:honeywell:maxpro_nvr_xe_firmware:*:*:*:*:*:*:*:*
Версия до 5.6 (включая)
cpe:2.3:h:honeywell:maxpro_nvr_xe:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:o:honeywell:maxpro_nvr_se_firmware:*:*:*:*:*:*:*:*
Версия до 5.6 (включая)
cpe:2.3:h:honeywell:maxpro_nvr_se:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:honeywell:maxpro_nvr_pe_firmware:*:*:*:*:*:*:*:*
Версия до 5.6 (включая)
cpe:2.3:h:honeywell:maxpro_nvr_pe:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:honeywell:mpnvrswxx_firmware:*:*:*:*:*:*:*:*
Версия до 5.6 (включая)
cpe:2.3:h:honeywell:mpnvrswxx:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

cpe:2.3:o:honeywell:hnmswvms_firmware:*:*:*:*:*:*:*:*
Версия до vms560 (включая)
cpe:2.3:h:honeywell:hnmswvms:-:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

cpe:2.3:o:honeywell:hnmswvmslt_firmware:*:*:*:*:*:*:*:*
Версия до vms560 (включая)
cpe:2.3:h:honeywell:hnmswvmslt:-:*:*:*:*:*:*:*

EPSS

Процентиль: 76%
0.00931
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-502
CWE-502

Связанные уязвимости

github логотип

GHSA-3478-j759-vphx

github
больше 3 лет назад

The following versions of MAXPRO VMS and NVR, MAXPRO VMS:HNMSWVMS prior to Version VMS560 Build 595 T2-Patch, HNMSWVMSLT prior to Version VMS560 Build 595 T2-Patch, MAXPRO NVR: MAXPRO NVR XE prior to Version NVR 5.6 Build 595 T2-Patch, MAXPRO NVR SE prior to Version NVR 5.6 Build 595 T2-Patch, MAXPRO NVR PE prior to Version NVR 5.6 Build 595 T2-Patch, and MPNVRSWXX prior to Version NVR 5.6 Build 595 T2-Patch are vulnerable to an unsafe deserialization of untrusted data. An attacker may be able to remotely modify deserialized data without authentication using a specially crafted web request, resulting in remote code execution.

EPSS

Процентиль: 76%
0.00931
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-502
CWE-502