CVE-2026-42363 in GV-IP Device Utility
Tóm tắt
Bởi VulDB • 21/05/2026
Một lỗ hổng mã hóa không đủ tồn tại trong chức năng Xác thực Thiết bị của GeoVision GV-IP Device Utility 9.0.5. Việc nghe trộm các gói tin broadcast có thể dẫn đến rò rỉ thông tin đăng nhập. Một kẻ tấn công có thể nghe các tin nhắn broadcast để kích hoạt lỗ hổng này.
Khi tương tác với các thiết bị Geovision khác nhau trên mạng, tiện ích này có thể gửi các lệnh có đặc quyền; để làm được điều đó, tên người dùng và mật khẩu của thiết bị cần được cung cấp. Trong một số trường hợp, lệnh được phát qua UDP và tên người dùng/mật khẩu được mã hóa bằng một giao thức mật mã dường như được dẫn xuất từ Blowfish. Tuy nhiên, khóa đối xứng được sử dụng cho việc mã hóa cũng được bao gồm trong gói tin, do đó bảo mật của tên người dùng/mật khẩu chỉ dựa vào sự "ẩn mình" của lược đồ mã hóa. Một kẻ tấn công trên cùng mạng LAN có thể nghe lưu lượng broadcast sau khi một người dùng quản trị tương tác với thiết bị, và giải mã thông tin đăng nhập bằng cách sử dụng triển khai thuật toán của riêng họ. Với mật khẩu này, kẻ tấn công sẽ có toàn quyền kiểm soát cấu hình thiết bị, cho phép họ thay đổi địa chỉ IP hoặc thậm chí đặt lại thiết bị về cài đặt gốc.
If you want to get best quality of vulnerability data, you may have to visit VulDB.