Vulnerabilidad en AXIS OS (CVE-2024-6979)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

10/09/2024

Última modificación:

08/11/2024

Descripción

Amin Aliakbari, miembro del programa Bug Bounty de AXIS OS, ha descubierto un control de acceso defectuoso que podría provocar que las cuentas de operador y/o espectador con menos privilegios tuvieran más privilegios de los previstos. El riesgo de explotación es muy bajo, ya que requiere pasos complejos para su ejecución, incluido el conocimiento de las contraseñas de las cuentas y ataques de ingeniería social para engañar al administrador para que realice configuraciones específicas en cuentas con privilegios de operador y/o espectador. Axis ha publicado una versión parcheada de AXIS OS para la falla resaltada. Consulte el aviso de seguridad de Axis para obtener más información y soluciones.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.80

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://www.axis.com/dam/public/c3/44/5b/cve-2024-6979-en-US-448997.pdf