CVE-2026-57878
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 41 — wyżej niż 41% wszystkich znanych CVE
Streszczenie
W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych, w serwerze HTTP thttpd, występuje podatność na przepełnienie bufora stosu. Luka wynika z niewystarczającego sprawdzania granic podczas przetwarzania parametrów żądań HTTP w określonej ścieżce. Zdalny, nieuwierzytelniony atakujący może wysłać spreparowane żądanie HTTP z nadmiernie długim wejściem, co prowadzi do uszkodzenia pamięci, odmowy usługi lub potencjalnie zdalnego wykonania kodu.
Ocena ryzyka
Ryzyko obejmuje możliwość zdalnego wykonania kodu przez nieuwierzytelnionego atakującego, co może prowadzić do całkowitego przejęcia kontroli nad urządzeniem, a także do przerwania jego działania (DoS).
Rekomendacja
Zaleca się natychmiastową aktualizację oprogramowania sprzętowego urządzeń GeoVision GV-LPC2011 i GV-LPC2211 do wersji nowszej niż V1.12. Jeśli aktualizacja nie jest dostępna, należy ograniczyć dostęp do interfejsu HTTP tylko do zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
An unauthenticated stack-based buffer overflow vulnerability exists in thttpd in GeoVision GV-LPC2011 and GV-LPC2211 V1.12 and earlier. The vulnerability is caused by insufficient bounds checking when processing web request parameters in a specific request path. A remote attacker may exploit this vulnerability by sending a crafted HTTP request with overly long input, resulting in memory corruption, denial of service, or potentially arbitrary code execution.

