つみかさね

CVE-2026-42369

Critical(10)

CVE-2026-42369 — GeoVision GV-VMS スタックオーバーフロー脆弱性

公開日: 2026-05-05データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
GV-VMSGeoVisionV20

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1GeoVision GV-VMSを利用しているか確認する
  2. 2WebCam Server機能が有効か確認する
  3. 3最新のファームウェア・ソフトウェアへアップデートする
  4. 4不要な場合はWebCam Server機能を無効化する

影響対象

GeoVision GV-VMS利用者監視カメラシステム運用者

補足

  • -ASLR無効バイナリのため攻撃の成功率が非常に高い
CVEGeoVision監視カメラスタックオーバーフローIoT

概要

GeoVision GV-VMS V20は監視カメラの映像を管理するソフトウェアです。WebCam Server機能を有効にした際のHTTP認証処理(Basic/Digest認証)において、Base64デコード後の文字列コピーにバウンドチェックがなく、256バイトのスタック変数を超えた書き込みが発生します。バイナリがASLR無効でコンパイルされているため、攻撃者がSYSTEM権限でのコード実行を容易に達成できます。本日最高のCVSS 10.0。

CVSSベクトル

項目
CVSSスコア10.0(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要
ユーザー関与不要
CWECWE-787(境界外書き込み)

影響を受けるソフトウェア

製品ベンダー影響バージョン
GV-VMSGeoVisionV20(WebCam Server有効時)

修正バージョンと回避策

  • GeoVisionの最新ファームウェア・ソフトウェアを適用してください
  • WebCam Server機能が不要な場合は無効化してください
  • 外部ネットワークからのアクセスを制限してください

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-42364GeoVision LPC OSコマンドインジェクションCVSS 9.9CVE-2026-42368GeoVision LPC 権限昇格CVSS 9.9CVE-2026-42370GeoVision GV-VMS スタックオーバーフローCVSS 9

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42369
GeoVision:https://www.geovision.com.tw/cyber_security.php
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。