CVE-2024-8956
PTZOptics NDI and SDI Cameras /cgi-bin/param.cgi Insufficient Authentication
Em resumo
Câmeras PTZOptics permitem que qualquer pessoa acesse e modifique as configurações da câmera sem fazer login, enviando solicitações para um endereço específico. Um atacante pode roubar senhas, nomes de usuário e configurações, ou alterar as definições remotamente sem permissão.
Detalhe técnico
O endpoint /cgi-bin/param.cgi em câmeras PTZOptics PT30X-SDI/NDI não valida corretamente cabeçalhos HTTP Authorization, permitindo acesso remoto não autenticado. Atacantes podem recuperar dados sensíveis incluindo hashes de credenciais e parâmetros de configuração, ou realizar modificações não autorizadas nas configurações da câmera por manipulação de parâmetros.
Resumo gerado e traduzido por IA a partir da descrição oficial.
PTZOptics PT30X-SDI/NDI-xx before firmware 6.3.40 is vulnerable to an insufficient authentication issue. The camera does not properly enforce authentication to /cgi-bin/param.cgi when requests are sent without an HTTP Authorization header. The result is a remote and unauthenticated attacker can leak sensitive data such as usernames, password hashes, and configurations details. Additionally, the attacker can update individual configuration values or overwrite the whole file.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
PoCs públicas encontradas — 1
cve_referencewww.labs.greynoise.io/grimoire/2024-10-31-sift-0-day-rce/não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://ptzoptics.com/firmware-changelog/https://vulncheck.com/advisories/ptzoptics-insufficient-authhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-8956https://www.greynoise.io/blog/greynoise-intelligence-discovers-zero-day-vulnerabilities-in-live-streaming-cameras-with-the-help-of-aihttps://www.labs.greynoise.io/grimoire/2024-10-31-sift-0-day-rce/