← Zuruck zu CVEs
CVE-2020-24215
CRITICAL9.8
Beschreibung
An issue was discovered in the box application on HiSilicon based IPTV/H.264/H.265 video encoders. Attackers can use hard-coded credentials in HTTP requests to perform any administrative task on the device including retrieving the device's configuration (with the cleartext admin password), and uploading a custom firmware update, to ultimately achieve arbitrary code execution.
CVE Details
CVSS v3.1 Bewertung9.8
SchweregradCRITICAL
CVSS VektorCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
AngriffsvektorNETWORK
KomplexitatLOW
Erforderliche PrivilegienNONE
BenutzerinteraktionNONE
Veroffentlicht10/6/2020
Zuletzt geandert11/21/2024
Quellenvd
Honeypot-Sichtungen0
Betroffene Produkte
jtechdigital:h.264_iptv_encoder_1080p\@60hzjtechdigital:h.264_iptv_encoder_1080p\@60hz_firmwareprovideoinstruments:vecaster-4k-hevcprovideoinstruments:vecaster-4k-hevc_firmwareprovideoinstruments:vecaster-hd-h264provideoinstruments:vecaster-hd-h264_firmwareprovideoinstruments:vecaster-hd-hevcprovideoinstruments:vecaster-hd-hevc_firmwareprovideoinstruments:vecaster-hd-sdiprovideoinstruments:vecaster-hd-sdi_firmwareszuray:iptv\/h.264_video_encoder_firmwareszuray:iptv\/h.265_video_encoder_firmwareszuray:uaioe264-1uszuray:uaioe265-1uszuray:uce264-1-miniszuray:uce264-1wb-miniszuray:uce264-4-1uszuray:uce264-8-1uszuray:uhae264-16szuray:uhae265-1-miniszuray:uhae265-1wb-miniszuray:uhae265-4-1uszuray:uhce264-1szuray:uhce264-16p32szuray:uhce264-1p2szuray:uhce264-1p2-1uszuray:uhce264-1sszuray:uhce264-1wszuray:uhce264-1wsszuray:uhce264-4p8szuray:uhe264-1-4kszuray:uhe264-16szuray:uhe264-16l-3uszuray:uhe264-16s-2uszuray:uhe264-1lszuray:uhe264-1l-4kszuray:uhe264-1lwszuray:uhe264-1sszuray:uhe264-1s-miniszuray:uhe264-1w-miniszuray:uhe264-1wb-4gszuray:uhe264-1wb-miniszuray:uhe264-1wbs-2bszuray:uhe264-1wbs-miniszuray:uhe264-1ws-miniszuray:uhe264-2-1uszuray:uhe264-4szuray:uhe264-4-1uszuray:uhe264-4l-1uszuray:uhe264-8szuray:uhe264-8-1uszuray:uhe264-8l-3uszuray:uhe264-8s-2uszuray:uhe265-1szuray:uhe265-1-1uszuray:uhe265-1-4kszuray:uhe265-1-miniszuray:uhe265-16-3uszuray:uhe265-16l-3uszuray:uhe265-1lszuray:uhe265-1lwszuray:uhe265-1s-4kszuray:uhe265-1s-miniszuray:uhe265-1wszuray:uhe265-1w-4kszuray:uhe265-1w-miniszuray:uhe265-1wb-4gszuray:uhe265-1wb-miniszuray:uhe265-1wbs-miniszuray:uhe265-2-1uszuray:uhe265-4szuray:uhe265-4-1uszuray:uhe265-4sszuray:uhe265-4s-1uszuray:uhe265-8-1uszuray:uhe265-8l-3uszuray:uhe265-8s-1uszuray:uhse265-1uszuray:use264-16-3uszuray:use264-1lszuray:use264-1l-1uszuray:use264-1l-miniszuray:use264-1lwszuray:use264-1wb-lszuray:use264-4l-1uszuray:use264-8-1uszuray:use265-1-1uszuray:use265-1-miniszuray:use265-16l-3uszuray:use265-1lszuray:use265-1l-1uszuray:use265-1l-miniszuray:use265-1lwszuray:use265-1w-miniszuray:use265-1wb-4gszuray:use265-1wb-lszuray:use265-1wb-miniszuray:use265-2-1uszuray:use265-4-1uszuray:use265-4l-1uszuray:use265-8-1uszuray:uve264-1lszuray:uve264-1lwszuray:uve265-1szuray:uve265-1w
Schwachen (CWE)
CWE-798
Referenzen
http://packetstormsecurity.com/files/159601/HiSilicon-Video-Encoder-Backdoor-Password.html(cve@mitre.org)
https://www.kb.cert.org/vuls/id/896979(cve@mitre.org)
http://packetstormsecurity.com/files/159601/HiSilicon-Video-Encoder-Backdoor-Password.html(af854a3a-2127-422b-91ae-364da2661108)
https://kojenov.com/2020-09-15-hisilicon-encoder-vulnerabilities/(af854a3a-2127-422b-91ae-364da2661108)
https://www.kb.cert.org/vuls/id/896979(af854a3a-2127-422b-91ae-364da2661108)
IOC Korrelationen
Keine Korrelationen erfasst
This product uses data from the NVD API but is not endorsed or certified by the NVD.