Girishunawane, участник программы AXIS OS Bug Bounty, обнаружил, что VAPIX API dynamicoverlay.cgi не имеет достаточной проверки входных дан…
Girishunawane, участник программы AXIS OS Bug Bounty, обнаружил, что VAPIX API dynamicoverlay.cgi не имеет достаточной проверки входных данных, что позволяет возможную инъекцию команд, позволяя передавать файлы на устройство Axis с целью исчерпания ресурсов системы. Компания Axis выпустила исправленные версии операционной системы AXIS для данной уязвимости. Пожалуйста, обратитесь к совету по безопасности Axis для получения дополнительной информации и решения.
Продукт допускает загрузку или передачу файлов опасных типов, которые автоматически обрабатываются в его среде.
https://cwe.mitre.org/data/definitions/434.html →Открыть в коллекции CWE →В приложениях, особенно веб-приложениях, доступ к функциональности ограничивается системой авторизации. Эта система сопоставляет списки контроля доступа (ACL) с элементами функциональности приложения — в частности, с URL-адресами веб-приложений. Если администратор не задал ACL для определённого элемента, злоумышленник может получить к нему доступ безнаказанно. Злоумышленник, способный обращаться к функциональности, не ограниченной ACL должным образом, может получить конфиденциальную информацию и, возможно, скомпрометировать приложение целиком. Такой злоумышленник может обращаться к ресурсам, которые должны быть доступны только пользователям с более высоким уровнем привилегий, получать доступ к административным разделам приложения или выполнять запросы на получение данных, к которым у него не должно быть доступа.
https://capec.mitre.org/data/definitions/1.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| axis_os | * | Отслеживается |
| axis_os_2024 | * | Отслеживается |