Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

nvd,bdu

Ptzoptics

Уязвимости

6

Эксплуатируемые

2

Критический

5

Высокий

1

Топ уязвимостей

BDU:2024-08954Уязвимость микропрограммного обеспечения веб-камер PTZOptics PT30X-SDI/NDI связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём отправки специально сформированного запроса с параметром ntp_addr CGI-скрипта /cgi-bin/param.cgi

CVE-2025-35451PTZOptics и другие камеры на базе ValueHD используют жестко закодированные учетные данные. Пароли могут быть легко взломаны, а SSH или telnet могут быть доступны на всех интерфейсах. Пользователь не может изменить пароли или отключить SSH/telnet. Уязвимость имеет высокий уровень серьезности. Рекомендуется обновить прошивку до исправленной версии, если она доступна. Источники: - [1] https://www.cisa.gov/news-events/ics-advisories/icsa-25-162-10 - [2] https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2025/icsa-25-162-10.json - [3] https://www.cve.org/CVERecord?id=CVE-2025-35451 - [4] https://www.labs.greynoise.io/grimoire/2024-10-31-sift-0-day-rce/ - [5] https://www.greynoise.io/blog/greynoise-intelligence-discovers-zero-day-vulnerabilities-in-live-streaming-cameras-with-the-help-of-ai

CVE-2025-35452PTZOptics и другие камеры на основе ValueHD используют по умолчанию общие учетные данные для доступа к административному веб-интерфейсу [1]. Успешная эксплуатация этих уязвимостей может позволить злоумышленнику слить конфиденциальные данные, выполнить произвольные команды и получить доступ к административному веб-интерфейсу с использованием жестко заданных учетных данных [2]. Источники: - [1] https://www.cisa.gov/news-events/ics-advisories/icsa-25-162-10 - [2] https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2025/icsa-25-162-10.json - [3] https://www.cve.org/CVERecord?id=CVE-2025-35452 - [4] https://www.labs.greynoise.io/grimoire/2024-10-31-sift-0-day-rce/ - [5] https://www.greynoise.io/blog/greynoise-intelligence-discovers-zero-day-vulnerabilities-in-live-streaming-cameras-with-the-help-of-ai

CVE-2024-8956Камера PTZOptics PT30X‑SDI/NDI‑xx (прошивка до версии 6.3.40) уязвима к недостаточной аутентификации. При запросах к /cgi-bin/param.cgi без заголовка HTTP Authorization камера не требует аутентификации, что позволяет удалённому неавторизованному злоумышленнику получить чувствительные данные (имена пользователей, хеши паролей, конфигурацию) или изменить отдельные параметры конфигурации, либо перезаписать весь файл. В более новых версиях прошивки (начиная с 0.0.46) реализована HTTP‑аутентификация и улучшена сетев‑ая безопасность, однако версии до 6.3.40 остаются уязвимыми. (см. источники [1], [2]) Источники: - [1] https://ptzoptics.com/firmware-changelog/ - [2] https://vulncheck.com/advisories/ptzoptics-insufficient-auth

BDU:2024-08975Уязвимость микропрограммного обеспечения веб-камер PTZOptics PT30X-SDI/NDI связана с неправильной аутентификацией. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём отправки специально сформированного запроса без заголовка авторизации HTTP CGI-скрипта /cgi-bin/param.cgi

CVE-2024-8957Уязвимость внедрения команд в камерах PTZOptics PT30X‑SDI/NDI‑xx (прошивка < 6.3.40). Параметр ntp_addr не проверяется, что позволяет при запуске ntp_client выполнить произвольные команды операционной системы; в сочетании с CVE‑2024‑8956 позволяет удалённому неаутентифицированному атакующему выполнить любые команды. Исправление включено в прошивку 0.0.58 (21 февраля 2025) с улучшениями сетевой безопасности. Подробнее см. источник [1].\nИсточники:\n- [1] https://ptzoptics.com/firmware-changelog/\n- [2] https://vulncheck.com/advisories/ptzoptics-command-injection

Открыть в каталоге с фильтром по вендору →