Fecha de publicación: 16/09/2020
Importancia:
Crítica
Recursos afectados:
Los fabricantes afectados por alguna de estas vulnerabilidades son:
- URayTech;
- J-Tech Digital;
- VeCASTER PRO de Pro Video Instruments.
Otras marcas aún no han sido confirmadas.
Descripción:
Se han publicado múltiples vulnerabilidades (4 críticas, 1 alta y 1 media) en varios dispositivos codificadores de vídeo sobre IP, también conocidos como codificadores de vídeo IPTV/H.264/H.265, que están basados en el hardware HiSilicon Hi3520d. Estas vulnerabilidades podrían permitir a un atacante remoto, no autenticado, ejecutar código arbitrario y realizar otras acciones no autorizadas en un sistema vulnerable.
Solución:
Aplicar las últimas actualizaciones de su fabricante. Para más información consulte la sección de referencias.
Detalle:
Las vulnerabilidades presentes en el software de los dispositivos codificadores de vídeo PTV/H.264/H.265 son del tipo:
- Acceso administrativo completo mediante una contraseña de puerta trasera. Se ha reservado el identificador CVE-2020-24215 para esta vulnerabilidad.
- Acceso administrativo de root mediante una contraseña de puerta trasera. Se ha reservado el identificador CVE-2020-24218 para esta vulnerabilidad.
- Archivo arbitrario leído a través de path transversal. Se ha reservado el identificador CVE-2020-24219 para esta vulnerabilidad.
- Subida de archivos no autenticados. Se ha reservado el identificador CVE-2020-24217 para esta vulnerabilidad.
- Ejecución arbitraria de código mediante la carga de firmware malicioso. Se ha reservado el identificador CVE-2020-24217 para esta vulnerabilidad.
- Ejecución de código arbitrario mediante inyección de comandos. Se ha reservado el identificador CVE-2020-24217 para esta vulnerabilidad.
- Denegación de servicio por desbordamiento de búfer. Se ha reservado el identificador CVE-2020-24214 para esta vulnerabilidad.
- Acceso no autorizado a la transmisión de vídeo a través de RTSP. Se ha reservado el identificador CVE-2020-24216 para esta vulnerabilidad.
Etiquetas:
Actualización, Comunicaciones, IoT, Vulnerabilidad