Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-5677

Опубликовано: 05 фев. 2024
Источник: nvd
CVSS3: 6.3
CVSS3: 8.8
EPSS Низкий

Описание

Brandon Rothel from QED Secure Solutions and Sam Hanson of Dragos have found that the VAPIX API tcptest.cgi did not have a sufficient input validation allowing for a possible remote code execution. This flaw can only be exploited after authenticating with an operator- or administrator-privileged service account. The impact of exploiting this vulnerability is lower with operator-privileges compared to administrator-privileges service accounts. Please refer to the Axis security advisory for more information and solution.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:axis:m3024-lve_firmware:*:*:*:*:*:*:*:*
Версия до 5.51.7.7 (исключая)
cpe:2.3:h:axis:m3024-lve:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:o:axis:m3025-ve_firmware:*:*:*:*:*:*:*:*
Версия до 5.51.7.7 (исключая)
cpe:2.3:h:axis:m3025-ve:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:axis:m7014_firmware:*:*:*:*:*:*:*:*
Версия до 5.51.7.7 (исключая)
cpe:2.3:h:axis:m7014:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:axis:m7016_firmware:*:*:*:*:*:*:*:*
Версия до 5.51.7.7 (исключая)
cpe:2.3:h:axis:m7016:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

cpe:2.3:o:axis:p1214-e_firmware:*:*:*:*:*:*:*:*
Версия до 5.51.7.7 (исключая)
cpe:2.3:h:axis:p1214-e:-:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

cpe:2.3:o:axis:p7214_firmware:*:*:*:*:*:*:*:*
Версия до 5.51.7.7 (исключая)
cpe:2.3:h:axis:p7214:-:*:*:*:*:*:*:*
Конфигурация 7

Одновременно

cpe:2.3:o:axis:p7216_firmware:*:*:*:*:*:*:*:*
Версия до 5.51.7.7 (исключая)
cpe:2.3:h:axis:p7216:-:*:*:*:*:*:*:*
Конфигурация 8

Одновременно

cpe:2.3:o:axis:q7401_firmware:*:*:*:*:*:*:*:*
Версия до 5.51.7.7 (исключая)
cpe:2.3:h:axis:q7401:-:*:*:*:*:*:*:*
Конфигурация 9

Одновременно

cpe:2.3:o:axis:q7404_firmware:*:*:*:*:*:*:*:*
Версия до 5.51.7.7 (исключая)
cpe:2.3:h:axis:q7404:-:*:*:*:*:*:*:*
Конфигурация 10

Одновременно

cpe:2.3:o:axis:q7414_firmware:*:*:*:*:*:*:*:*
Версия до 5.51.7.7 (исключая)
cpe:2.3:h:axis:q7414:-:*:*:*:*:*:*:*
Конфигурация 11

Одновременно

cpe:2.3:o:axis:q7424-r_mk_ii_firmware:*:*:*:*:*:*:*:*
Версия до 5.51.3.9 (исключая)
cpe:2.3:h:axis:q7424-r_mk_ii:-:*:*:*:*:*:*:*

EPSS

Процентиль: 22%
0.00074
Низкий

6.3 Medium

CVSS3

8.8 High

CVSS3

Дефекты

CWE-78
CWE-94

Связанные уязвимости

github логотип

GHSA-wpw2-f6x3-8f7j

CVSS3: 6.3
github
около 2 лет назад

Brandon Rothel from QED Secure Solutions has found that the VAPIX API tcptest.cgi did not have a sufficient input validation allowing for a possible remote code execution. This flaw can only be exploited after authenticating with an operator- or administrator-privileged service account. The impact of exploiting this vulnerability is lower with operator-privileges compared to administrator-privileges service accounts. Axis has released patched AXIS OS versions for the highlighted flaw. Please refer to the Axis security advisory for more information and solution.

EPSS

Процентиль: 22%
0.00074
Низкий

6.3 Medium

CVSS3

8.8 High

CVSS3

Дефекты

CWE-78
CWE-94