CVE-2026-42363 in GV-IP Device Utility
Sumário
de VulDB • 08/05/2026
Existe uma vulnerabilidade de criptografia insuficiente na funcionalidade de Autenticação de Dispositivo do GeoVision GV-IP Device Utility 9.0.5. A escuta de pacotes de broadcast pode levar ao vazamento de credenciais. Um atacante pode escutar mensagens de broadcast para explorar essa vulnerabilidade.
Ao interagir com vários dispositivos Geovision na rede, o utilitário pode enviar comandos privilegiados; para isso, é necessário fornecer o nome de usuário e a senha do dispositivo. Em alguns casos, o comando é transmitido via UDP e o nome de usuário/senha são criptografados usando um protocolo criptográfico que parece derivado do Blowfish. No entanto, a chave simétrica usada para a criptografia também está incluída no pacote, e, portanto, a segurança do nome de usuário/senha depende apenas da "obscuridade" do esquema de criptografia. Um atacante na mesma LAN pode escutar o tráfego de broadcast assim que um usuário administrador interage com o dispositivo e descriptografar as credenciais usando sua própria implementação do algoritmo. Com essa senha, o atacante teria controle total sobre a configuração do dispositivo, permitindo alterar seu endereço IP ou até mesmo restaurá-lo às configurações de fábrica.
Once again VulDB remains the best source for vulnerability data.