Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en codificadores IPTV basados en hardware HiSilicon

Múltiples vulnerabilidades en codificadores IPTV basados en hardware HiSilicon

Fecha de publicación: 
16/09/2020
Importancia: 
5 - Crítica
Recursos afectados: 

Los fabricantes afectados por alguna de estas vulnerabilidades son:

  • URayTech;
  • J-Tech Digital;
  • VeCASTER PRO de Pro Video Instruments.

Otras marcas aún no han sido confirmadas.

Descripción: 

Se han publicado múltiples vulnerabilidades (4 críticas, 1 alta y 1 media) en varios dispositivos codificadores de vídeo sobre IP, también conocidos como codificadores de vídeo IPTV/H.264/H.265, que están basados en el hardware HiSilicon Hi3520d. Estas vulnerabilidades podrían permitir a un atacante remoto, no autenticado, ejecutar código arbitrario y realizar otras acciones no autorizadas en un sistema vulnerable.

Solución: 

Aplicar las últimas actualizaciones de su fabricante. Para más información consulte la sección de referencias.

Detalle: 

Las vulnerabilidades presentes en el software de los dispositivos codificadores de vídeo PTV/H.264/H.265 son del tipo:

  • Acceso administrativo completo mediante una contraseña de puerta trasera. Se ha reservado el identificador CVE-2020-24215 para esta vulnerabilidad.
  • Acceso administrativo de root mediante una contraseña de puerta trasera. Se ha reservado el identificador CVE-2020-24218 para esta vulnerabilidad.
  • Archivo arbitrario leído a través de path transversal. Se ha reservado el identificador CVE-2020-24219 para esta vulnerabilidad.
  • Subida de archivos no autenticados. Se ha reservado el identificador CVE-2020-24217 para esta vulnerabilidad.
  • Ejecución arbitraria de código mediante la carga de firmware malicioso. Se ha reservado el identificador CVE-2020-24217 para esta vulnerabilidad.
  • Ejecución de código arbitrario mediante inyección de comandos. Se ha reservado el identificador CVE-2020-24217 para esta vulnerabilidad.
  • Denegación de servicio por desbordamiento de búfer. Se ha reservado el identificador CVE-2020-24214 para esta vulnerabilidad.
  • Acceso no autorizado a la transmisión de vídeo a través de RTSP. Se ha reservado el identificador CVE-2020-24216 para esta vulnerabilidad.

Encuesta valoración