CVE-2026-57874
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na przepełnienie bufora w skrypcie IEEE8021x_upload.cgi. Problem wynika z braku odpowiedniego sprawdzania granic podczas przetwarzania wartości nazw plików w danych przesyłanych metodą multipart. Zdalny, nieuwierzytelniony atakujący może wykorzystać tę podatność, wysyłając spreparowane żądanie uploadu z nadmiernie długimi danymi, co prowadzi do uszkodzenia pamięci i odmowy usługi (DoS).
Ocena ryzyka
Ryzyko polega na możliwości zdalnego spowodowania awarii urządzenia przez nieuwierzytelnionego atakującego, co może zakłócić działanie systemów monitoringu wizyjnego i innych usług zależnych od tych kamer.
Rekomendacja
Zaleca się natychmiastową aktualizację oprogramowania sprzętowego (firmware) do wersji nowszej niż V1.12, jeśli jest dostępna. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do interfejsu zarządzania urządzeniem tylko do zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
An unauthenticated buffer overflow vulnerability exists in IEEE8021x_upload.cgi in GeoVision GV-LPC2011 and GV-LPC2211 V1.12 and earlier. The vulnerability is caused by insufficient bounds checking when parsing filename values in multipart upload data. A remote attacker may exploit this vulnerability by sending a crafted upload request with overly long input, causing memory corruption and resulting in a denial of service.

