PT-2024-7556 · Ptzoptics · Ptzoptics Pt30X-Sdi/Ndi Cameras
Konstantin Lazarev
·
Publicado
2024-09-17
·
Atualizado
2025-09-09
·
CVE-2024-8957
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Câmeras PTZOptics PT30X-SDI/NDI com versões anteriores ao firmware 6.3.40
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de comando no sistema operacional. A câmera não valida suficientemente o valor de configuração
ntp addr, o que pode levar à execução de comandos arbitrários quando o ntp client é iniciado. Isso pode ser explorado por um invasor remoto e não autenticado para executar comandos arbitrários do sistema operacional nos dispositivos afetados. A vulnerabilidade pode ser explorada enviando uma solicitação especialmente criada com o parâmetro ntp addr para o script CGI /cgi-bin/param.cgi.Recomendações
Para câmeras PTZOptics PT30X-SDI/NDI com versões anteriores ao firmware 6.3.40, atualize para o firmware 6.3.40 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao script CGI
/cgi-bin/param.cgi e evitar o uso do parâmetro ntp addr até que o problema seja resolvido.Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ptzoptics Pt30X-Sdi/Ndi Cameras