2024年11月05日摄星科技“关键漏洞目录”新增2个漏洞,包括PTZOptics PT30X-SDI/NDI Cameras身份验证绕过漏洞。关键漏洞目录漏洞总数增加到1202个。
已被添加到CISA KEV、关键漏洞目录
CVSS v3.1向量:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞级别:超危
PTZOptics PT30X-SDI/NDI-xx在固件版本6.3.40之前的版本
https://ptzoptics.com/firmware-changelog/
CVSS v3.1向量:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
PTZOptics PT30X-SDI/NDI-xx在6.3.40之前的固件版本存在操作系统命令注入问题。摄像头没有充分验证ntp_addr配置值,可能导致在启动ntp_client时执行任意命令。远程的经过身份验证的攻击者通过具有/cgi-bin/param.cgi脚本的ntp_adr参数的特制有效载荷将权限升级到root。当与CVE-2024-8956漏洞结合时,远程且未经身份验证的攻击者可以在受影响的设备上执行任意操作系统命令。
升级到PTZOptics网站提供的PT30X-SDI and PT30X-NDI的最新版本(6.3.40或更高版本)。参考链接:
https://ptzoptics.com/firmware-changelog/
“关键漏洞目录”由摄星科技维护,可通过https://www.vulinsight.com.cn/#/kvc查看详细内容。并可下载CSV、JSON格式全量漏洞数据。
企业用户可通过漏洞情报SaaS平台、漏洞管控平台、知识库VKB平台获取服务和支持。