AVTECH DVR Search.cgi 特権昇格

履歴差分リンクするjsonxmlCTI

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
7.1	$0-$5k	0.88

要約情報

現在、AVTECH DVRにて、重大と分類される脆弱性が確認されています。影響を受けるのは不明な関数ファイル/cgi-bin/nobody/Search.cgiのです。操作結果として特権昇格につながります。入手できるエクスプロイトツールはありません。

現在、AVTECH DVRにて、重大と分類される脆弱性が確認されています。影響を受けるのは不明な関数ファイル/cgi-bin/nobody/Search.cgiのです。操作結果として特権昇格につながります。 CWEによる問題の宣言は、CWE-269 につながります。この脆弱性は 2016年10月11日に Gergely Eberhardt (ebux25)より「Bugtraq」の Mailinglist Postにて「AVTECH IP Camera, NVR, DVR multiple vulnerabilities」として紹介されました。アドバイザリはseclists.orgでダウンロードできます。この開示には以下の情報が含まれています：

We note that the above vulnerabilities were found within a short period of time without a systematic approach. Based on the vulnerability types we found and the overall code quality, the devices should contain much more problems.

技術的な情報が提供されています。この脆弱性の普及度は平均未満です。入手できるエクスプロイトツールはありません。現在の時点で、エクスプロイトの価格はおおよそUSD $0-$5kかもしれません。 MITRE ATT&CKプロジェクトによると、攻撃手法はT1068です。

このエクスプロイトツールは未定義として宣言されています。この脆弱性は少なくとも358日間、非公開のゼロデイ攻撃として扱われていました。 0-dayの際、アンダーグラウンド市場での想定価格は$0-$5k前後でした。