Vulnerabilidad en Team ENVY (CVE-2024-41884)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-476 Desreferencia a puntero nulo (NULL)

Fecha de publicación:

24/12/2024

Última modificación:

24/12/2024

Descripción

Team ENVY, un equipo de investigación de seguridad, ha encontrado una falla que permite la ejecución remota de código en el NVR. Si un atacante no ingresa ningún valor para un parámetro de URL específico, se producirán referencias de puntero NULL y el NVR se reiniciará. El fabricante ha publicado un parche de firmware para la falla; consulte el informe del fabricante para obtener detalles y workarounds.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.90 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

6.90

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://www.hanwhavision.com/wp-content/uploads/2024/12/NVR-Vulnerability-Report-CVE-2024-4188241887.pdf