Katalog CVE

CVE-2024-42531

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.58%

Percentyl 44 - wyżej niż 44% wszystkich znanych CVE

Streszczenie

Kamera Ezviz Internet PT Camera CS-CV246 D15655150 umożliwia nieuwierzytelnionemu hostowi dostęp do strumienia wideo na żywo poprzez spreparowanie zestawu pakietów RTSP z określonymi adresami URL, które mogą przekierować strumień z kamery. Producent twierdzi, że przykładowy kod może nawiązać komunikację RTSP, ale nie uzyskać danych wideo ani audio, więc nie ma ryzyka.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego podglądu strumienia wideo z kamery przez atakującego bez uwierzytelnienia, co może naruszyć prywatność i bezpieczeństwo monitorowanego obszaru.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie oprogramowania kamery do najnowszej wersji oraz skonfigurowanie uwierzytelniania dla dostępu RTSP. Jeśli aktualizacja nie jest dostępna, należy ograniczyć dostęp sieciowy do kamery tylko do zaufanych hostów.

Oryginalny opis (angielski, źródło NVD)

Ezviz Internet PT Camera CS-CV246 D15655150 allows an unauthenticated host to access its live video stream by crafting a set of RTSP packets with a specific set of URLs that can be used to redirect the camera feed. NOTE: the vendor's perspective is that the Anonymous120386 sample code can establish RTSP protocol communictaion, but cannot obtain video or audio data; thus, there is no risk.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS