AVTECH IP Camera/NVR/DVR CloudSetup.cgi exefile 特権昇格

履歴差分リンクするjsonxmlCTI

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
9.5	$0-$5k	0.00

脆弱性が AVTECH IP Camera, NVR and DVR 内に見つかりました。この脆弱性は重大として分類されました。影響を受けるのは不明な関数ファイル/cgi-bin/supervisor/CloudSetup.cgiのです。引数 exefile への入力psの操作が、特権昇格をもたらします。 CWEによる問題の宣言は、CWE-77 につながります。この脆弱性は公開されました 2016年10月11日によりGergely Eberhardt (ebux25) としてAVTECH IP Camera, NVR, DVR multiple vulnerabilities としてMailinglist Post （Bugtraq）。アドバイザリーは seclists.org から入手可能です。公開情報には次の様な記述が含まれています。

We note that the above vulnerabilities were found within a short period of time without a systematic approach. Based on the vulnerability types we found and the overall code quality, the devices should contain much more problems.

技術的詳細情報が入手可能です。この脆弱性の普及度は平均未満です。現在の時点で、エクスプロイトの価格はおおよそUSD $0-$5kかもしれません。この脆弱性は、MITRE ATT&CKプロジェクトによって T1202 に割り当てられました。

未定義であると宣言されています。脆弱性は少なくとも358日間、非公開のゼロデイエクスプロイトとして扱われていました。 0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。】のプラグインを提供しています。