Katalog CVE

CVE-2026-7372

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W funkcjonalności logowania serwera WebCam w GeoVision GV-VMS V20 20.0.2 występuje podatność na przepełnienie stosu. Specjalnie skonstruowane żądanie HTTP może prowadzić do wykonania dowolnego kodu.

Ocena ryzyka

Atakujący może wysłać nieautoryzowane żądanie HTTP, co może skutkować pełnym wykonaniem kodu z uprawnieniami SYSTEM na maszynie obsługującej usługę.

Rekomendacja

Zaleca się ograniczenie długości wprowadzanych danych w funkcji logowania oraz aktualizację oprogramowania do najnowszej wersji, aby zminimalizować ryzyko wykorzystania tej podatności.

Oryginalny opis (angielski, źródło NVD)

A stack overflow vulnerability exists in the WebCam Server Login functionality of GeoVision GV-VMS V20 20.0.2. A specially crafted HTTP request can lead to an arbitrary code execution. An attacker can make an unauthenticated HTTP request to trigger this vulnerability. #### Stack-overflow via unconstrained sscanf The call to `sscanf` at [1] to split the `Buffer` variable into the `username` and `password` variables doesn't limit the size of the extracted content to match the destination buffers' sizes. In this case, if either the username or password decoded from the authorization string exceeds `40` characters (the size the stack variables `username` and `password`) then a stack overflow will occur. The data is controlled by an attacker, but sronger constraints (e.g. no null bytes) may make exploitation harder. A successful attack could lead to full code execution as SYSTEM on the machine running the service.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS