Axis Os
Уязвимости
36
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.01247
Распределение по критичности
Критический
0
Высокий
16
Средний
19
Низкий
1
Затронутые диапазоны версий
10.12.0–11.9.5310.12.0–12.3.5610.5.0–10.12.19910.8–11.7.5710.9.0–12.1.2111.0.89–11.4.5211.11.0–12.2.4111.11.0–12.2.5211.11.0–12.3.5612.0.0–12.10.3712.0.0–12.10.412.0.0–12.3.3312.0.0–12.4.012.0.0–12.5.3112.0.0–12.5.3612.0.0–12.6.1812.0.0–12.6.3012.0.0–12.6.4012.0.0–12.6.6912.0.0–12.6.712.0.0–12.7.3312.0.0–12.9.3212.0.0–12.9.3312.6.54–12.7.36
Также сопоставлено как (исходные строки): axis_os,axis_os_2022,axis_os_2024,axis_os_2016,axis_os_2018,axis_os_2020
Топ уязвимостей
CVE-2026-1185Файл конфигурации в локальной файловой системе имел неправильную валидацию ввода, которая могла бы позволить выполнение кода и потенциально привести к эскалации привилегий. Эта уязвимость может быть использована только в том случае, если злоумышленник может войти в устройство Axis с помощью SSH.
CVE-2025-11142VAPIX API mediaclip.cgi, который не имел достаточной входной валидной проверки, позволяющей для возможного удаленного выполнения кода. Этот недостаток может быть использован только после аутентификации с помощью привилегированной учетной записи службы оператора или администратора.
CVE-2025-0358Во время ежегодного теста на проникновение, проведенного по заказу Axis Communication, компания Truesec обнаружила ошибку в фреймворке конфигурации устройств VAPIX, которая позволила повысить привилегии и дала пользователю с низкими привилегиями возможность получить права администратора.
Источники:
- [1] https://www.axis.com/dam/public/35/90/85/cve-2025-0358pdf-en-US-483809.pdf
CVE-2025-0324Фреймворк конфигурации устройства VAPIX допускал повышение привилегий, позволяя пользователю с более низкими привилегиями получить привилегии администратора [1].
Источники:
- [1] https://www.axis.com/dam/public/04/f3/1c/cve-2025-0324pdf-en-US-483807.pdf
CVE-2023-5800Vintage, член программы AXIS OS Bug Bounty, обнаружил, что VAPIX API create_overlay.cgi не имеет достаточной проверки ввода, что позволяет выполнить удаленное выполнение кода. Этим недостатком можно воспользоваться только после аутентификации с учетной записью службы с правами оператора или администратора. Axis выпустила исправленные версии AXIS OS для выделенного недостатка. Для получения дополнительной информации и решения обратитесь к рекомендациям по безопасности Axis.
CVE-2021-31988Неправильно проверяется параметр, управляемый пользователем и связанный с функциональностью тестирования SMTP, что позволяет добавлять управляющие символы возврата каретки и перевода строки (CRLF) и включать произвольные заголовки SMTP в сгенерированное тестовое электронное письмо.
CVE-2023-21415Сандро Поппи, член программы Bug Bounty AXIS OS, обнаружил, что VAPIX API overlay_del.cgi уязвим для атак с обходом пути, которые позволяют удалять файлы. Этот недостаток можно использовать только после аутентификации с учетной записью службы с привилегиями оператора или администратора. Axis выпустила исправленные версии AXIS OS для выделенного недостатка. Пожалуйста, обратитесь к консультативному бюллетеню по безопасности Axis для получения дополнительной информации и решения.
CVE-2025-0360Во время ежегодного теста на проникновение, проведенного от имени Axis Communication, Truesec обнаружил недостаток в рамках конфигурации устройства VAPIX, который может привести к неправильному уровню привилегий пользователя в D-Bus API сервиса VAPIX.
CVE-2021-31987Неправильно проверяется параметр, управляемый пользователем и связанный с функциональностью тестирования SMTP, что позволяет обходить заблокированных сетевых получателей.
CVE-2026-0804Файл конфигурации ACAP не имел достаточной входной проверки, что могло бы позволить атаку на траверсию пути, приводящую к потенциальной эскалации привилегий. Эта уязвимость может быть использована только в том случае, если устройство Axis настроено так, чтобы разрешить установку неподписанных приложений ACAP, и если злоумышленник убеждает жертву установить вредоносное приложение ACAP.
CVE-2026-0802В файле конфигурации ACAP не хватало достаточной валидации ввода, что могло бы позволить инъекцию команд и, возможно, привести к эскалации привилегий. Эта уязвимость может быть использована только в том случае, если устройство Axis настроено так, чтобы разрешить установку неподписанных приложений ACAP, и если злоумышленник убеждает жертву установить вредоносное приложение ACAP.
CVE-2026-0541Приложения ACAP могут получить повышенные привилегии из-за неправильной валидации входа во время процесса установки, что может привести к эскалации привилегий. Эта уязвимость может быть использована только в том случае, если устройство Axis настроено так, чтобы разрешить установку неподписанных приложений ACAP, и если злоумышленник убеждает жертву установить вредоносное приложение ACAP.
CVE-2023-21413GoSecure от имени Genetec Inc. обнаружила недостаток, позволяющий удаленно выполнять код во время установки приложений ACAP на устройство Axis. Служба обработки приложений в AXIS OS была уязвима для внедрения команд, позволяющего злоумышленнику выполнять произвольный код. Axis выпустила исправленные версии AXIS OS для выделенного недостатка. Пожалуйста, обратитесь к консультативному бюллетеню по безопасности Axis для получения дополнительной информации и решения.
CVE-2024-47259Girishunawane, участник программы AXIS OS Bug Bounty, обнаружил, что VAPIX API dynamicoverlay.cgi не имеет достаточной проверки входных данных, что позволяет возможную инъекцию команд, позволяя передавать файлы на устройство Axis с целью исчерпания ресурсов системы.
Компания Axis выпустила исправленные версии операционной системы AXIS для данной уязвимости. Пожалуйста, обратитесь к совету по безопасности Axis для получения дополнительной информации и решения.
CVE-2023-21418Сандро Поппи, член программы Bug Bounty AXIS OS, обнаружил, что VAPIX API irissetup.cgi уязвим для атак с обходом пути, которые позволяют удалять файлы. Этот недостаток можно использовать только после аутентификации с учетной записью службы с привилегиями оператора или администратора. Воздействие использования этой уязвимости ниже с учетными записями службы оператора и ограничено несистемными файлами по сравнению с привилегиями администратора. Axis выпустила исправленные версии AXIS OS для выделенного недостатка. Пожалуйста, обратитесь к консультативному бюллетеню по безопасности Axis для получения дополнительной информации и решения.
CVE-2023-21417Сандро Поппи, член программы Bug Bounty AXIS OS, обнаружил, что VAPIX API manageoverlayimage.cgi уязвим для атак с обходом пути, которые позволяют удалять файлы/папки. Этот недостаток можно использовать только после аутентификации с учетной записью службы с привилегиями оператора или администратора. Воздействие использования этой уязвимости ниже с учетными записями службы оператора и ограничено несистемными файлами по сравнению с привилегиями администратора. Axis выпустила исправленные версии AXIS OS для выделенного недостатка. Пожалуйста, обратитесь к консультативному бюллетеню по безопасности Axis для получения дополнительной информации и решения.
CVE-2025-5718Система применения ACAP может позволить эскалацию привилегий посредством атаки со символической связи. Эта уязвимость может быть использована только в том случае, если устройство Axis настроено так, чтобы разрешить установку неподписанных приложений ACAP, и если злоумышленник убеждает жертву установить вредоносное приложение ACAP.
CVE-2023-5553Во время внутреннего моделирования угроз Axis Security Development Model (ASDM) была обнаружена ошибка в защите от несанкционированного доступа к устройству (обычно известной как Secure Boot) в AXIS OS, что делает ее уязвимой для сложной атаки, позволяющей обойти эту защиту. Насколько известно Axis, в настоящее время нет известных эксплойтов для этой уязвимости. Axis выпустила исправленные версии AXIS OS для обнаруженного дефекта. Пожалуйста, обратитесь к консультативному бюллетеню Axis по безопасности для получения дополнительной информации и решения.
CVE-2023-21414NCC Group обнаружила недостаток во время ежегодного внутреннего теста на проникновение, заказанного Axis Communications. Защита от несанкционированного доступа к устройству (обычно известная как Secure Boot) содержит недостаток, который предоставляет возможность для сложной атаки для обхода этой защиты. Axis выпустила исправленные версии AXIS OS для выделенного недостатка. Пожалуйста, обратитесь к консультативному бюллетеню по безопасности Axis для получения дополнительной информации и решения.
CVE-2021-31986Неправильно проверяются параметры, управляемые пользователем и связанные с уведомлениями SMTP. Это может привести к переполнению буфера, что приведет к сбоям и утечке данных.
CVE-2025-8108Файл конфигурации ACAP имеет неправильные разрешения и не имеет входной проверки, что потенциально может привести к эскалации привилегий. Эта уязвимость может быть использована только в том случае, если устройство Axis настроено так, чтобы разрешить установку неподписанных приложений ACAP, и если злоумышленник убеждает жертву установить вредоносное приложение ACAP.
CVE-2025-6779Файл конфигурации ACAP имеет неправильный разрешений, которые могут позволить инъекцию команды и потенциально привести к эскалации привилегий. Эта уязвимость может быть использована только в том случае, если устройство Axis настроено так, чтобы разрешить установку неподписанных приложений ACAP, и если злоумышленник убеждает жертву установить вредоносное приложение ACAP.
CVE-2025-6298Приложения ACAP могут получить повышенные привилегии из-за неправильной валидации ввода, что может привести к эскалации привилегий. Эта уязвимость может быть использована только в том случае, если устройство Axis настроено так, чтобы разрешить установку неподписанных приложений ACAP, и если злоумышленник убеждает жертву установить вредоносное приложение ACAP.
CVE-2025-5454Файл конфигурации ACAP не имел достаточной валидации входа, что могло бы позволить атаку на проходной путь, приводя к потенциальной эскалации привилегий. Эта уязвимость может быть использована только в том случае, если устройство Axis настроено так, чтобы разрешить установку неподписанных приложений ACAP, и если злоумышленник убеждает жертву установить вредоносное приложение ACAP.
CVE-2025-4645В файле конфигурации ACAP отсутствует достаточная валидация ввода, которая могла бы обеспечить произвольное выполнение кода. Эта уязвимость может быть использована только в том случае, если устройство Axis настроено так, чтобы разрешить установку неподписанных приложений ACAP, и если злоумышленник убеждает жертву установить вредоносное приложение ACAP.