Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-42364 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-05-04 |
| Producent | GeoVision |
| Produkt | LPC2011/LPC2211 |
| CVSS Score | 9.9 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
W funkcjonalności
DdnsSetting.cgiurządzeń GeoVision LPC2011/LPC2211 1.10 istnieje podatność wstrzykiwania poleceń systemu operacyjnego (OS command injection). Specjalnie spreparowana konfiguracja DDNS może doprowadzić do arbitralnego wykonania poleceń. Atakujący może zmodyfikować wartość konfiguracyjną, aby wywołać tę podatność.
Wymagane działania
Niezwłocznie zaktualizuj firmware urządzeń GeoVision LPC2011/LPC2211 do najnowszej wersji zawierającej poprawkę. Do czasu wdrożenia patcha ogranicz dostęp do panelu administracyjnego urządzeń wyłącznie do zaufanych adresów wewnętrznych i zablokuj możliwość modyfikacji konfiguracji DDNS przez nieautoryzowanych użytkowników. Monitoruj logi pod kątem nietypowych zmian w konfiguracji.
Kogo dotyczy?
Podatność dotyczy produktu LPC2011/LPC2211 firmy GeoVision. Sprawdź czy Twoja organizacja korzysta z tych urządzeń (wersja 1.10) i niezwłocznie zaktualizuj firmware oraz ogranicz ekspozycję panelu zarządzania.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
