アクシスコミュニケーションズのAXIS OS等の複数製品における危険なタイプのファイルの無制限アップロードに関する脆弱性
| Title |
アクシスコミュニケーションズのAXIS OS等の複数製品における危険なタイプのファイルの無制限アップロードに関する脆弱性
|
| Summary |
AXIS OSバグバウンティプログラムのメンバーであるGirishunawane氏は、VAPIX APIのdynamicoverlay.cgiに十分な入力検証が行われておらず、コマンドインジェクションの可能性があることを発見しました。この脆弱性を悪用すると、システムリソースを枯渇させる目的でファイルをAxisデバイスに転送できます。Axisはこの重大な脆弱性に対処するために修正済みのAXIS OSバージョンをリリースしました。詳細および対策については、Axisのセキュリティアドバイザリを参照してください。
|
| Possible impacts |
当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
March 4, 2025, midnight |
| Registration Date |
Jan. 27, 2026, 5:37 p.m. |
| Last Update |
Jan. 27, 2026, 5:37 p.m. |
|
CVSS3.0 : 重要
|
| Score |
7.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H |
Affected System
| アクシスコミュニケーションズ |
|
AXIS OS 11.11.0 以上 12.2.52 未満
|
|
AXIS OS 2024 11.11.126 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年01月27日]
掲載 |
Jan. 27, 2026, 5:37 p.m. |
NVD Vulnerability Information
CVE-2024-47259
| Summary |
Girishunawane, member of the AXIS OS Bug Bounty Program, has found that the VAPIX API dynamicoverlay.cgi did not have a sufficient input validation allowing for a possible command injection leading to being able to transfer files to the Axis device with the purpose to exhaust system resources.
Axis has released patched AXIS OS versions for the highlighted flaw. Please refer to the Axis security advisory for more information and solution.
|
| Publication Date |
March 4, 2025, 3:15 p.m. |
| Registration Date |
March 5, 2025, 4 a.m. |
| Last Update |
March 4, 2025, 3:15 p.m. |
Related information, measures and tools
Common Vulnerabilities List