V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
nvd

Axis

Уязвимости
100
Эксплуатируемые
0
Критический
14
Высокий
40

Топ продуктов

Axis Os362100 Network Camera12Camera Station Pro11A10019A1001 Firmware9Axis Os 20229M1033-w9M1033-w Firmware9M11259Axis Os 20248M3024-lve8M3024-lve Firmware8M3025-ve8M3025-ve Firmware8M70148M7014 Firmware8M70168M7016 Firmware8P12048P1204 Firmware8

Топ уязвимостей

CVE-2004-2427Axis Network Camera 2.40 и более ранние версии, а также Video Server 3.12 и более ранние версии позволяют удаленным злоумышленникам получать конфиденциальную информацию через прямые запросы к (1) admin/getparam.cgi, (2) admin/systemlog.cgi, (3) admin/serverreport.cgi и (4) admin/paramlist.cgi, изменять системную информацию через (5) setparam.cgi и (6) factorydefault.cgi или (7) вызывать отказ в обслуживании (перезагрузку) через restart.cgi.
CVE-2003-0240Возможность веб-администрирования для различных продуктов Axis Network Camera позволяет удаленным злоумышленникам обходить ограничения доступа и изменять конфигурацию через HTTP-запрос к admin/admin.shtml, содержащий начальный // (двойной слеш).
CVE-2000-0191Axis StorPoint CD позволяет удаленным злоумышленникам получать доступ к URL-адресам администратора без аутентификации с помощью атаки .. (dot dot).
CVE-2023-21409Из-за недостаточных разрешений на файлы непривилегированные пользователи могут получить доступ к незашифрованным учетным данным администратора, позволяющим настраивать приложение.
CVE-2023-21408Из-за недостаточных разрешений на файлы непривилегированные пользователи могут получить доступ к незашифрованным учетным данным пользователя, которые используются в интерфейсе интеграции со сторонними системами.
CVE-2018-10662В нескольких моделях IP-камер Axis обнаружена проблема. Существует открытый небезопасный интерфейс.
CVE-2018-10661В нескольких моделях IP-камер Axis обнаружена проблема. Существует обход контроля доступа.
CVE-2018-10660В нескольких моделях IP-камер Axis обнаружена проблема. Существует внедрение команд оболочки.
CVE-2017-20049В устаревших устройствах Axis, таких как P3225 и M3005, была обнаружена уязвимость. Это затрагивает неизвестную часть компонента CGI Script. Манипуляция приводит к ненадлежащему управлению привилегиями. Можно начать атаку удаленно.
CVE-2008-5260Переполнение буфера на основе кучи в элементе управления ActiveX CamImage.CamImage.1 в AxisCamControl.ocx в AXIS Camera Control 2.40.0.0 позволяет удаленным злоумышленникам выполнять произвольный код через длинное значение свойства image_pan_tilt.
CVE-2007-5213Множественные уязвимости межсайтовой подделки запросов (CSRF) в сетевой камере AXIS 2100 2.02 с прошивкой 2.43 и более ранних версий позволяют удаленным злоумышленникам выполнять действия от имени администраторов, как продемонстрировано (1) изменением SMTP-сервера через параметр conf_SMTP_MailServer1 в ServerManager.srv и (2) изменением имени хоста через параметр conf_Network_HostName на странице Network.
CVE-2007-4926Камера AXIS 207W использует имя пользователя и пароль в открытом виде, закодированные в base64, для аутентификации, что позволяет удаленным злоумышленникам получать конфиденциальную информацию, прослушивая беспроводную сеть или используя другие неуказанные векторы.
CVE-2007-2239Переполнение стекового буфера в методе SaveBMP в элементе ActiveX AXIS Camera Control (также известном как CamImage) до 2.40.0.0 в AxisCamControl.ocx в AXIS 2100, 2110, 2120, 2130 PTZ, 2420, 2420-IR, 2400, 2400+, 2401, 2401+, 2411 и Panorama PTZ позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой Internet Explorer) или выполнять произвольный код через длинный аргумент.
CVE-2025-30023Протокол связи между клиентом и сервером содержал уязвимость, которая могла привести к выполнению атаки удаленного выполнения кода аутентифицированным пользователем. Подробная информация доступна в соответствующем документе [1]. Источники: - [1] https://www.axis.com/dam/public/9b/a5/72/cve-2025-30023pdf-en-US-485733.pdf
CVE-2026-1185Файл конфигурации в локальной файловой системе имел неправильную валидацию ввода, которая могла бы позволить выполнение кода и потенциально привести к эскалации привилегий. Эта уязвимость может быть использована только в том случае, если злоумышленник может войти в устройство Axis с помощью SSH.
CVE-2025-11142VAPIX API mediaclip.cgi, который не имел достаточной входной валидной проверки, позволяющей для возможного удаленного выполнения кода. Этот недостаток может быть использован только после аутентификации с помощью привилегированной учетной записи службы оператора или администратора.
CVE-2025-0358Во время ежегодного теста на проникновение, проведенного по заказу Axis Communication, компания Truesec обнаружила ошибку в фреймворке конфигурации устройств VAPIX, которая позволила повысить привилегии и дала пользователю с низкими привилегиями возможность получить права администратора. Источники: - [1] https://www.axis.com/dam/public/35/90/85/cve-2025-0358pdf-en-US-483809.pdf
CVE-2025-0324Фреймворк конфигурации устройства VAPIX допускал повышение привилегий, позволяя пользователю с более низкими привилегиями получить привилегии администратора [1]. Источники: - [1] https://www.axis.com/dam/public/04/f3/1c/cve-2025-0324pdf-en-US-483807.pdf
CVE-2023-5800Vintage, член программы AXIS OS Bug Bounty, обнаружил, что VAPIX API create_overlay.cgi не имеет достаточной проверки ввода, что позволяет выполнить удаленное выполнение кода. Этим недостатком можно воспользоваться только после аутентификации с учетной записью службы с правами оператора или администратора. Axis выпустила исправленные версии AXIS OS для выделенного недостатка. Для получения дополнительной информации и решения обратитесь к рекомендациям по безопасности Axis.
CVE-2023-5677Brandon Rothel из QED Secure Solutions и Sam Hanson из Dragos обнаружили, что VAPIX API tcptest.cgi не имел достаточной проверки входных данных, что позволяло выполнить возможное удаленное выполнение кода. Этот недостаток может быть использован только после аутентификации с учетной записью, имеющей права оператора или администратора. Влияние эксплуатации этой уязвимости ниже при использовании прав оператора по сравнению с учетными записями с правами администратора. Пожалуйста, обратитесь к рекомендациям по безопасности Axis для получения дополнительной информации и решения [1]. Источники: - [1] https://www.axis.com/dam/public/0a/47/d1/cve-2023-5677-en-US-483444.pdf
CVE-2023-21412Предоставленный пользователем ввод не очищается в специфичном для AXIS License Plate Verifier “search.cgi”, что позволяет выполнять SQL-инъекции.
CVE-2023-21411Предоставленный пользователем ввод не очищается в интерфейсе конфигурации “Settings > Access Control”, что позволяет выполнять произвольный код.
CVE-2023-21410Предоставленный пользователем ввод не очищается в специфичном для AXIS License Plate Verifier “api.cgi”, что позволяет выполнять произвольный код.
CVE-2023-21407Обнаружен сломанный контроль доступа, позволяющий повысить привилегии учетной записи оператора для получения прав администратора.
CVE-2023-21406Ариэль Харуш и Рой Ходир из OTORIO обнаружили недостаток в AXIS A1001 при связи по OSDP. В процессе pacsiod, который обрабатывает связь OSDP, была обнаружена переполнение буфера на основе кучи, позволяющее записывать за пределы выделенного буфера. Путем добавления недопустимых данных в сообщение OSDP можно было записывать данные за пределы выделенного в куче буфера. Данные, записанные за пределами буфера, могут быть использованы для выполнения произвольного кода. Пожалуйста, обратитесь к консультативному бюллетеню по безопасности Axis для получения дополнительной информации, смягчения последствий и затронутых продуктов и версий программного обеспечения.
Открыть в каталоге с фильтром по вендору →