Múltiples vulnerabilidades en Zavio IP Camera
Versión M2.1.6.05 de los siguientes modelos de cámaras Zavio IP:
- CF7500,
- CF7300,
- CF7201,
- CF7501,
- CB3211,
- CB3212,
- CB5220,
- CB6231,
- B8520,
- B8220,
- CD321.
Attila Szasz, investigador de BugProve, con la coordinación de Mike Haldas de CCTV Camera Pros, ha reportado 5 vulnerabilidades, 3 de severidad crítica y 2 altas, cuya explotación podría permitir la ejecución remota de código.
Los productos afectados han llegado al final de su vida útil (EoL). El fabricante ya no está activo en el negocio y, por lo tanto, el desarrollo de correcciones de firmware, mitigaciones y actualizaciones no están (ni estarán) disponibles.
Las vulnerabilidades críticas se producen durante el procesamiento y el análisis sintáctico de determinados campos de elementos XML procedentes de solicitudes de red entrantes, ya que el producto no comprueba, ni valida suficientemente el tamaño del búfer asignado. Se han asignado los identificadores CVE-2023-3959, CVE-2023-45225 y CVE-2023-43755 para estas vulnerabilidades.
Las vulnerabilidades de severidad alta tienen asignados los identificadores CVE-2023-39435 y CVE-2023-4249.