CVE-2026-42363 in GV-IP Device Utilityالمعلومات

الملخص

بحسب VulDB • 21/05/2026

يوجد ثغرة في التشفير غير الكافي في وظيفة مصادقة الجهاز (Device Authentication) الخاصة بأداة GeoVision GV-IP Device Utility الإصدار 9.0.5. يمكن أن يؤدي الاستماع إلى حزم البث (broadcast packets) إلى تسرب بيانات الاعتماد. يمكن لمهاجم الاستماع إلى رسائل البث لاستغلال هذه الثغرة.

أثناء التفاعل مع أجهزة Geovision المختلفة على الشبكة، قد ترسل الأداة أوامر ذات صلاحيات عالية؛ ولقيام بذلك، يجب توفير اسم المستخدم وكلمة المرور للجهاز. في بعض الحالات، يتم بث الأمر عبر بروتوكول UDP، وتتم تشفير اسم المستخدم/كلمة المرور باستخدام بروتوكول تشفير يبدو أنه مشتق من خوارزمية Blowfish. ومع ذلك، يتم أيضًا تضمين المفتاح المتماثل المستخدم في التشفير داخل الحزمة، وبالتالي فإن أمان اسم المستخدم/كلمة المرور يعتمد فقط على "الغموض" (obscurity) الخاص بمخطط التشفير. يمكن لمهاجم موجود على نفس الشبكة المحلية (LAN) الاستماع إلى حركة مرور البث بمجرد تفاعل مستخدم مسؤول مع الجهاز، وفك تشفير بيانات الاعتماد باستخدام تنفيذه الخاص للخوارزمية. باستخدام كلمة المرور هذه، سيحصل المهاجم على تحكم كامل في تكوين الجهاز، مما يسمح له بتغيير عنوان IP الخاص به أو حتى إعادة تعيينه إلى الإعدادات الافتراضية للمصنع.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

حجز

27/04/2026

إفشاء

27/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-359762

CPE

جاهز

CWE

CWE-656 (مؤكد)

CVSS

9.3 (CNA)

EPSS

0.00046

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42363
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42363
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42363/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!