CVE-2024-42531
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 44 - wyżej niż 44% wszystkich znanych CVE
Streszczenie
Kamera Ezviz Internet PT Camera CS-CV246 D15655150 umożliwia nieuwierzytelnionemu hostowi dostęp do strumienia wideo na żywo poprzez spreparowanie zestawu pakietów RTSP z określonymi adresami URL, które mogą przekierować strumień z kamery. Producent twierdzi, że przykładowy kod może nawiązać komunikację RTSP, ale nie uzyskać danych wideo ani audio, więc nie ma ryzyka.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego podglądu strumienia wideo z kamery przez atakującego bez uwierzytelnienia, co może naruszyć prywatność i bezpieczeństwo monitorowanego obszaru.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie oprogramowania kamery do najnowszej wersji oraz skonfigurowanie uwierzytelniania dla dostępu RTSP. Jeśli aktualizacja nie jest dostępna, należy ograniczyć dostęp sieciowy do kamery tylko do zaufanych hostów.
Oryginalny opis (angielski, źródło NVD)
Ezviz Internet PT Camera CS-CV246 D15655150 allows an unauthenticated host to access its live video stream by crafting a set of RTSP packets with a specific set of URLs that can be used to redirect the camera feed. NOTE: the vendor's perspective is that the Anonymous120386 sample code can establish RTSP protocol communictaion, but cannot obtain video or audio data; thus, there is no risk.

