Podatność w oprogramowaniu kamery IP D3D Security D8801 (wersja V9.1.17.1.4-20180428) umożliwia lokalnemu atakującemu wykonanie dowolnego kodu. Pomimo lokalnego wektora ataku, podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co wskazuje na poważne ryzyko dla bezpieczeństwa urządzenia.
▸ Pokaż oryginał (EN)
An issue in D3D Security D3D IP Camera (D8801) v.V9.1.17.1.4-20180428 allows a local attacker to execute arbitrary code via a crafted payload
Atakujący z dostępem lokalnym do urządzenia może dostarczyć specjalnie spreparowany payload, który prowadzi do wykonania dowolnego kodu na urządzeniu. Podatność sklasyfikowana jest m.in. jako CWE-94 (nieprawidłowa kontrola generowania kodu), co sugeruje możliwość wstrzyknięcia i uruchomienia złośliwego kodu. Szczegółowy mechanizm podatności nie został ujawniony w dostępnym opisie.
Atakujący może przejąć pełną kontrolę nad urządzeniem, wykonując dowolny kod z uprawnieniami systemu kamery, co może prowadzić do naruszenia poufności, integralności oraz dostępności urządzenia i przechwytywanych przez nie danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie fizycznego i sieciowego dostępu do urządzenia oraz monitorowanie aktywności na urządzeniu do czasu zastosowania aktualizacji.
D3D Security D8801 IP Camera z oprogramowaniem w wersji V9.1.17.1.4-20180428
Wektor CVSS wskazuje na atak sieciowy bez uwierzytelnienia (AV:N/PR:N), jednak opis producenta określa go jako atak lokalny – istnieje rozbieżność między wektorem CVSS a opisem podatności, którą należy zweryfikować w referencjach producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HD3dsecurity D8801
HWD3Dsecuritywszystkie wersjeD3dsecurity D8801 Firmware
OSD3Dsecurity9.1.17.1.4-20180428