PT-2020-7394 · Zavio · Zavio Ip Cameras
Publicado
2020-01-29
·
Atualizado
2020-02-01
·
CVE-2013-2570
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
**Nome do software vulnerável e versões afetadas:
Câmeras IP Zavio, versões 1.6.3 e anteriores
Descrição:
Existe uma vulnerabilidade de injeção de comando no parâmetro General.Time.NTP.Server da função sub C8C8 do arquivo binário /opt/cgi/view/param, que poderia permitir que um usuário mal-intencionado remoto executasse código arbitrário.
Recomendações:
Para as versões 1.6.3 e anteriores, considere restringir o acesso ao parâmetro General.Time.NTP.Server para minimizar o risco de exploração.
Como solução temporária, considere desativar a função sub C8C8 do binário /opt/cgi/view/param até que um patch esteja disponível.
Evite usar o parâmetro General.Time.NTP.Server no binário afetado até que o problema seja resolvido.
Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zavio Ip Cameras