Tres vulnerabilidades en Webcams Axis

Se han confirmado tres vulnerabilidades en las webcams Axis versiones
2100 y 2400. Todas están localizadas en el servidor de vídeo empotrado
que utilizan (versiones 2.33 y anteriores).

La primera vulnerabilidad está originada por un error en el control de
acceso. Cualquier persona puede hacer una petición del archivo
«http://[servidor]/support/messages», que devuelve
«/var/log/messages». Esto puede poner al descubierto información
sensible.

Las otras dos son a causa de un error de validación de entradas en el
archivo «command.cgi». Un usuario malicioso puede explotarlas para
crear archivos arbitrarios o sobrescribir archivos del sistema
causando así un ataque de denegación de servicio (DoS).

Se recomienda filtrar las entradas al servidor web, de tal forma que
sólo usuarios autorizados se conecten a él.

Más información:

Axis Webcams Three Vulnerabilities:
http://www.secunia.com/advisories/8217/

Acerca de Hispasec

Hispasec Ha escrito 6966 publicaciones.

• View all posts by Hispasec →
• Blog