CVE-2026-42369

Nome do Software Vulnerável e Versões Afetadas GV-VMS versão V20

Description Um estouro de pilha (stack overflow) existe no componente WebCam Server do software de monitoramento de vídeo. Quando o acesso remoto está habilitado, o endpoint gvapi utiliza um mecanismo de autenticação específico via cabeçalho HTTP Authorization, suportando os modos Basic e Digest. O problema ocorre porque uma string decodificada em base64, armazenada na variável b64decoder, é copiada para a variável de pilha Buffer sem a verificação de limites. Se a string decodificada exceder 256 caracteres, um estouro de pilha é acionado. Como o servidor web é compilado sem ASLR (Address Space Layout Randomization), uma técnica de segurança que organiza aleatoriamente as posições do espaço de endereço de áreas de dados principais para evitar ataques de corrupção de memória, um invasor pode obter a execução total de código com privilégios de SYSTEM na máquina anfitriã.

Recommendations Atualize o GV-VMS versão V20 para uma versão corrigida. Desative o recurso de acesso remoto WebCam Server para evitar a exploração.