CVE-2026-7372— GeoVision GV-VMS 缓冲区错误漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-7372の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
GeoVision GV-VMS V20 WebCam Server Login stack overflow vulnerability
ソース: NVD (National Vulnerability Database)
脆弱性説明
A stack overflow vulnerability exists in the WebCam Server Login functionality of GeoVision GV-VMS V20 20.0.2. A specially crafted HTTP request can lead to an arbitrary code execution. An attacker can make an unauthenticated HTTP request to trigger this vulnerability. #### Stack-overflow via unconstrained sscanf The call to `sscanf` at [1] to split the `Buffer` variable into the `username` and `password` variables doesn't limit the size of the extracted content to match the destination buffers' sizes. In this case, if either the username or password decoded from the authorization string exceeds `40` characters (the size the stack variables `username` and `password`) then a stack overflow will occur. The data is controlled by an attacker, but sronger constraints (e.g. no null bytes) may make exploitation harder. A successful attack could lead to full code execution as SYSTEM on the machine running the service.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
跨界内存写
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
GeoVision GV-VMS 缓冲区错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
GeoVision GV-VMS是中国GeoVision公司的一款视频管理系统软件。 GeoVision GV-VMS V20 20.0.2版本存在缓冲区错误漏洞,该漏洞源于WebCam Server登录功能中sscanf调用未限制提取内容大小,可能导致栈溢出,未经身份验证的攻击者可通过特制HTTP请求触发任意代码执行。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| GeoVision Inc. | GV-VMS V20.0.2 | 20.0.2 | - |
II. CVE-2026-7372の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-7372のインテリジェンス情報
请登录查看更多情报信息。
Same Patch Batch · GeoVision Inc. · 2026-05-04 · 10 CVEs total
| CVE-2026-42369 | 10.0 CRITICAL | GeoVision GV-VMS V20 WebCam Server stack overflow vulnerability |
| CVE-2026-42368 | 9.9 CRITICAL | GeoVision LPC2011/LPC2211 Web Interface privilege escalation vulnerability |
| CVE-2026-42364 | 9.9 CRITICAL | GeoVision LPC2011/LPC2211 Web Interface / DdnsSetting.cgi OS command injection vulnerabili |
| CVE-2026-7161 | 9.3 CRITICAL | GeoVision GV-IP Device Utility Device Authentication insufficient encryption vulnerability |
| CVE-2026-42370 | 9.0 CRITICAL | GeoVision GV-VMS V20 WebCam Server Login stack overflow vulnerability |
| CVE-2026-42365 | 8.6 HIGH | GeoVision LPC2011/LPC2211 Web Interface guessable session cookie vulnerability |
| CVE-2026-42366 | 7.4 HIGH | GeoVision LPC2011/LPC2211 Web Interface / ssi.cgi reflected cross-site scripting (XSS) vul |
| CVE-2026-7371 | 7.4 HIGH | GeoVision LPC2011/LPC2211 Web Interface / ssi.cgi reflected cross-site scripting (XSS) vul |
| CVE-2026-42367 | 6.5 MEDIUM | GeoVision LPC2011/LPC2211 Web Interface / ssi.cgi privilege escalation vulnerability via l |
IV. 関連脆弱性
同じベンダー: GeoVision Inc.
- CVE-2026-7841
GV-ASWeb Remote Code Execution (RCE) vulnerability - CVE-2026-42370
GeoVision GV-VMS V20 WebCam Server Login stack overflow vuln - CVE-2026-42369
GeoVision GV-VMS V20 WebCam Server stack overflow vulnerabil - CVE-2026-42368
GeoVision LPC2011/LPC2211 Web Interface privilege escalation - CVE-2026-42367
GeoVision LPC2011/LPC2211 Web Interface / ssi.cgi privilege
V. CVE-2026-7372へのコメント
まだコメントはありません