← volver
CVE-2024-8957

PTZOptics NDI and SDI Cameras Command Injection via NTP Address Configuration

CVSS 7.2 HIGHEPSS 82.1%● KEVCWE-78
En resumen

Las cámaras PTZOptics no validan correctamente la dirección del servidor NTP configurado, permitiendo que los atacantes inyecten comandos maliciosos en este campo. Cuando se inicia el servicio de sincronización de hora, estos comandos se ejecutan con privilegios del sistema, dando control total del dispositivo.

Detalle técnico

Vulnerabilidad de inyección de comandos OS en cámaras PTZOptics PT30X-SDI/NDI-xx (firmware < 6.3.40) causada por validación insuficiente del parámetro ntp_addr. La falla se activa cuando inicia el servicio ntp_client, permitiendo ejecución de comandos arbitrarios. Cuando se encadena con CVE-2024-8956, atacantes remotos no autenticados pueden comprometer completamente el sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.
PTZOptics PT30X-SDI/NDI-xx before firmware 6.3.40 is vulnerable to an OS command injection issue. The camera does not sufficiently validate the ntp_addr configuration value which may lead to arbitrary command execution when ntp_client is started. When chained with CVE-2024-8956, a remote and unauthenticated attacker can execute arbitrary OS commands on affected devices.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Productos afectados
PTZOptics · PT30X-NDIPTZOptics · PT30X-SDI
PoCs públicas encontradas1
cve_referencewww.labs.greynoise.io/grimoire/2024-10-31-sift-0-day-rce/no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://ptzoptics.com/firmware-changelog/https://vulncheck.com/advisories/ptzoptics-command-injectionhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-8957https://www.greynoise.io/blog/greynoise-intelligence-discovers-zero-day-vulnerabilities-in-live-streaming-cameras-with-the-help-of-aihttps://www.labs.greynoise.io/grimoire/2024-10-31-sift-0-day-rce/