CVE-2020-36925
CriticalSummary
Arteco Web Client DVR/NVR zawiera podatność na przejęcie sesji z powodu niewystarczającej złożoności identyfikatora sesji, co pozwala zdalnym atakującym na ominięcie uwierzytelnienia. Atakujący mogą przeprowadzić atak brute force na identyfikatory sesji w określonym zakresie numerycznym, aby uzyskać dostęp do ważnych sesji i strumieni na żywo z kamer bez autoryzacji.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając nieautoryzowany dostęp do strumieni wideo z kamer, co może prowadzić do naruszenia prywatności i bezpieczeństwa. Atakujący mogą wykorzystać tę lukę do monitorowania obiektów lub osób bez wiedzy ich właścicieli.
Recommendation
Zaleca się zwiększenie złożoności identyfikatorów sesji oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak ograniczenie liczby prób logowania i monitorowanie aktywności sesji. Należy również regularnie aktualizować oprogramowanie w celu eliminacji znanych podatności.
Original NVD description (English source)
Arteco Web Client DVR/NVR contains a session hijacking vulnerability with insufficient session ID complexity that allows remote attackers to bypass authentication. Attackers can brute force session IDs within a specific numeric range to obtain valid sessions and access live camera streams without authorization.

