Vulnerabilidad de ejecución de código en AXIS A1001
INCIBE-2023-0298
AXIS A1001 versiones 1.65.4 y anteriores.
Los investigadores Ariel Harush y Roy Hodir de OTORIO han informado a AXIS Communications de una vulnerabilidad de desbordamiento de búfer en el montículo (heap) en los dispositivos AXIS A1001, lo que podría permitir que un atacante ejecute código arbitrario.
Axis ha publicado una nueva versión para los dispositivos afectados que corrige la vulnerabilidad.
La vulnerabilidad conocida permite un desbordamiento de búfer en el montículo (heap) en el protocolo OSDP al agregar datos no válidos a un mensaje OSDP, pudiendo por lo tanto escribir datos más allá del búfer asignado del montón (heap). Estos datos escritos fuera del búfer podrían permitir que un atacante ejecute código arbitrario. Se ha asignado el identificador CVE-2023-21406 a esta vulnerabilidad.
