Katalog CVE

CVE-2020-36925

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Arteco Web Client DVR/NVR zawiera podatność na przejęcie sesji z powodu niewystarczającej złożoności identyfikatora sesji, co pozwala zdalnym atakującym na ominięcie uwierzytelnienia. Atakujący mogą przeprowadzić atak brute force na identyfikatory sesji w określonym zakresie numerycznym, aby uzyskać dostęp do ważnych sesji i strumieni na żywo z kamer bez autoryzacji.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając nieautoryzowany dostęp do strumieni wideo z kamer, co może prowadzić do naruszenia prywatności i bezpieczeństwa. Atakujący mogą wykorzystać tę lukę do monitorowania obiektów lub osób bez wiedzy ich właścicieli.

Rekomendacja

Zaleca się zwiększenie złożoności identyfikatorów sesji oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak ograniczenie liczby prób logowania i monitorowanie aktywności sesji. Należy również regularnie aktualizować oprogramowanie w celu eliminacji znanych podatności.

Oryginalny opis (angielski, źródło NVD)

Arteco Web Client DVR/NVR contains a session hijacking vulnerability with insufficient session ID complexity that allows remote attackers to bypass authentication. Attackers can brute force session IDs within a specific numeric range to obtain valid sessions and access live camera streams without authorization.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS