Vulnerabilidad en Axis Communications AB (CVE-2024-47259)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-434 Subida sin restricciones de ficheros de tipos peligrosos

Fecha de publicación:

04/03/2025

Última modificación:

04/03/2025

Descripción

Girishunawane, miembro del programa Bug Bounty de AXIS OS, ha descubierto que la API VAPIX dynamicoverlay.cgi no tenía una validación de entrada suficiente que permitiera una posible inyección de comandos que permitiera transferir archivos al dispositivo Axis con el fin de agotar los recursos del sistema. Axis ha publicado versiones parcheadas de AXIS OS para la falla resaltada. Consulte el aviso de seguridad de Axis para obtener más información y soluciones.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.50 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.50

Gravedad 3.x

BAJA

Referencias a soluciones, herramientas e información

https://www.axis.com/dam/public/13/cd/4a/cve-2024-47259pdf-en-US-466882.pdf