Vulnerabilidad en NVR WebViewer (CVE-2019-12223)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-119
Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria
Fecha de publicación:
05/09/2019
Última modificación:
07/11/2023
Descripción
Se detectó un problema en NVR WebViewer en los dispositivos Hanwah Techwin SRN-472s versión 1.07_190502 y otros dispositivos SRN-x en versiones anteriores a la 2019-05-03. Se puede lograr un bloqueo y reinicio del sistema enviando un nombre de usuario largo de más de 117 caracteres. El nombre de usuario desencadena un desbordamiento del búfer en el proceso principal que controla la operación del sistema DVR, lo que hace que los servicios no estén disponibles durante la operación de reinicio. Un ataque repetido afecta la disponibilidad siempre que el atacante tenga acceso de red al dispositivo.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
7.80
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:hanwha-security:srn-472s_firmware:1.07_190502:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hanwha-security:srn-472s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:hanwha-security:srn-873s_firmware:*:*:*:*:*:*:*:* | 2019-05-03 (excluyendo) | |
| cpe:2.3:h:hanwha-security:srn-873s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:hanwha-security:srn-1673s_firmware:*:*:*:*:*:*:*:* | 2019-05-03 (excluyendo) | |
| cpe:2.3:h:hanwha-security:srn-1673s:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página