Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Omisión de autenticación en ​GeoVision GV-ADR2701

Fecha de publicación 19/07/2023
Identificador

INCIBE-2023-0287

Importancia
5 - Crítica
Recursos Afectados

​GV-ADR2701, versión 1.00_2017_12_15.

Descripción

CISA ha notificado una vulnerabilidad crítica descubierta a través de una PoC pública de Chan Nyein Wai que afecta a cámaras GV-ADR2701 del fabricante GeoVision. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante iniciar sesión en la aplicación web de la cámara.

Solución

Cambiar a modelos más nuevos con la última actualización de firmware que hayan verificado que no son vulnerables, como por ejemplo TDR2704, TDR2702 o TDR2700.

Detalle

Un atacante podría editar la respuesta de inicio de sesión para acceder a la aplicación web de la cámara vulnerable. Se ha asignado el identificador ​CVE-2023-3638 para esta vulnerabilidad.