Vulnerabilidad en API VAPIX dinámicaoverlay.cgi (CVE-2023-21416)
Severidad:
MEDIA
Type:
No Disponible / Otro tipo
Fecha de publicación:
21/11/2023
Última modificación:
28/11/2023
Descripción
Sandro Poppi, miembro del programa AXIS OS Bug Bounty, descubrió que la API VAPIX dinámicaoverlay.cgi era vulnerable a un ataque de Denegación de Servicio que permitía a un atacante bloquear el acceso a la página de configuración superpuesta en la interfaz web del dispositivo Axis. Esta falla solo puede explotarse después de autenticarse con una cuenta de servicio con privilegios de operador o administrador; sin embargo, el impacto es igual. Axis ha lanzado versiones parcheadas del sistema operativo AXIS para la falla resaltada. Consulte el aviso de seguridad de Axis para obtener más información y soluciones.
Impacto
Puntuación base 3.x
6.50
Severidad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:axis:axis_os:*:*:*:*:active:*:*:* | 11.7.57 (excluyendo) | |
cpe:2.3:o:axis:axis_os_2022:*:*:*:*:lts:*:*:* | 10.12.213 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página