CVE-2026-7161 in GV-IP Device Utilityالمعلومات

الملخص

بحسب VulDB • 29/05/2026

يوجد ثغرة في التشفير غير الكافي في وظيفة مصادقة الجهاز (Device Authentication) الخاصة بأداة GeoVision GV-IP Device Utility الإصدار 9.0.5. يمكن أن يؤدي الاستماع إلى حزم البث (broadcast packets) إلى تسرب بيانات الاعتماد. يمكن لمهاجم الاستماع إلى رسائل البث لاستغلال هذه الثغرة.

أثناء التفاعل مع أجهزة Geovision المختلفة على الشبكة، قد ترسل الأداة أوامر ذات صلاحيات عالية؛ ولتنفيذ ذلك، يجب توفير اسم المستخدم وكلمة المرور للجهاز. في بعض الحالات، يتم بث الأمر عبر بروتوكول UDP، وتتم تشفير اسم المستخدم/كلمة المرور باستخدام بروتوكول تشفير يبدو أنه مشتق من خوارزمية Blowfish. ومع ذلك، يتم أيضًا تضمين المفتاح المتماثل المستخدم في التشفير داخل الحزمة، وبالتالي فإن أمان اسم المستخدم/كلمة المرور يعتمد فقط على "الغموض" (obscurity) الخاص بمخطط التشفير. يمكن لمهاجم موجود على نفس الشبكة المحلية (LAN) الاستماع إلى حركة مرور البث بمجرد تفاعل مستخدم مسؤول مع الجهاز، وفك تشفير بيانات الاعتماد باستخدام تنفيذه الخاص للخوارزمية. باستخدام كلمة المرور هذه، سيحصل المهاجم على تحكم كامل في تكوين الجهاز، مما يسمح له بتغيير عنوان IP الخاص به أو حتى إعادة تعيينه إلى الإعدادات الافتراضية للمصنع.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

حجز

27/04/2026

إفشاء

04/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-360934

CPE

جاهز

CWE

CWE-656 (مؤكد)

CVSS

9.3 (CNA)

EPSS

0.00047

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7161
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7161
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7161/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!