Amcrest IP2M-841B内存破坏漏洞

CVE编号

CVE-2019-3948

利用情况

暂无

补丁情况

N/A

披露时间

2019-07-30

漏洞描述

Amcrest IP2M-841B是Amcrest公司的一款IP摄像机。
使用2.520.AC00.18.R版本固件的Amcrest IP2M-841B中存在身份验证绕过漏洞，该漏洞在访问HTTP端点/视频通话时，程序没有要求进行身份验证。攻击者可利用该漏洞连接到该端点并监听摄像头所录制的音频。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：
https://amcrest.com/

参考链接
http://packetstormsecurity.com/files/153813/Amcrest-Cameras-2.520.AC00.18.R-U...
https://us.dahuasecurity.com/wp-content/uploads/2019/08/Cybersecurity_2019-08-02.pdf
https://www.dahuasecurity.com/support/cybersecurity/details/627?us
https://www.tenable.com/security/research/tra-2019-36

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	amcrest	ip2m-841b_firmware	2.520.ac00.18.r	-
	运行在以下环境
	系统	dahua	dh-ipc-hx863x	*		Up to (excluding) 2018-05-18
	运行在以下环境
	系统	dahua	dh-ipc-hx883x	*		Up to (excluding) 2018-05-18
	运行在以下环境
	系统	dahua	dh-sd4xxxxx	*		Up to (excluding) 2018-05-18
	运行在以下环境
	系统	dahua	dh-sd5xxxxx	*		Up to (excluding) 2018-05-18
	运行在以下环境
	系统	dahua	dh-sd6xxxxx	*		Up to (excluding) 2018-05-18
	运行在以下环境
	系统	dahua	ipc-hx4x3x	*		Up to (excluding) 2018-05-18
	运行在以下环境
	系统	dahua	ipc-hx5x3x	*		Up to (excluding) 2018-05-18
	运行在以下环境
	系统	dahua	ipc-xxbxx	*		Up to (excluding) 2018-05-18
	运行在以下环境
	系统	dahua	nvr2xxx-4ks2	*		Up to (excluding) 2018-05-18
	运行在以下环境
	系统	dahua	nvr4xxx-4ks2	*		Up to (excluding) 2018-05-18
	运行在以下环境
	系统	dahua	nvr5xxx-4ks2	*		Up to (excluding) 2018-05-18
	运行在以下环境
	硬件	amcrest	ip2m-841b	-	-
查看完整数据

CVSS3评分 7.5

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 无
• 保密性 高
• 完整性 无

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CWE-ID 漏洞类型 CWE-306 关键功能的认证机制缺失