GeoVisionのGV-IP Device Utilityにおける隠蔽によるセキュリティへの依存に関する脆弱性
| Title |
GeoVisionのGV-IP Device Utilityにおける隠蔽によるセキュリティへの依存に関する脆弱性
|
| Summary |
GeoVision GV-IP Device Utility 9.0.5のデバイス認証機能には不十分な暗号化の脆弱性が存在します。ブロードキャストパケットを傍受することで資格情報が漏洩する可能性があります。攻撃者はブロードキャストメッセージを傍受してこの脆弱性を悪用できます。ネットワーク上のさまざまなGeoVisionデバイスとやり取りする際に、ユーティリティは特権コマンドを送信します。この際、デバイスのユーザー名とパスワードの提供が必要です。場合によってはコマンドがUDPでブロードキャストされ、ユーザー名とパスワードはBlowfish派生と思われる暗号プロトコルで暗号化されます。しかし、暗号化に使用される対称鍵もパケット内に含まれているため、ユーザー名とパスワードのセキュリティは暗号方式の「秘匿性」のみに依存しています。同一LAN上の攻撃者は管理者ユーザーがデバイスとやり取りする際にブロードキャストトラフィックを傍受し、自身のアルゴリズム実装を用いて資格情報を復号できます。このパスワードを用いることで攻撃者はデバイスの設定を完全に制御可能であり、IPアドレスの変更や工場出荷時設定へのリセットも行えます。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 4, 2026, midnight |
| Registration Date |
May 7, 2026, 11:31 a.m. |
| Last Update |
May 7, 2026, 11:31 a.m. |
|
CVSS3.0 : 緊急
|
| Score |
9.3
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H |
Affected System
| GeoVision |
|
GV-IP Device Utility 9.0.5
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月07日]
掲載 |
May 7, 2026, 11:31 a.m. |
NVD Vulnerability Information
CVE-2026-7161
| Summary |
An insufficient encryption vulnerability exists in the Device Authentication functionality of GeoVision GV-IP Device Utility 9.0.5. Listening to broadcast packets can lead to credentials leak. An attacker can listen to broadcast messages to trigger this vulnerability.
When interacting with various Geovision devices on the network, the utility may send privileged commands; in order to do so, the username and password of the device need to be provided. In some instances the command is broadcasted over UDP and the username/password are encrypted using a cryptographic protocol that appears to be derivated from Blowfish. However the symmetric key used for the encryption is also included in the packet, and thus the security of the username/password only relies on the "obscurity" of the encryption scheme. An attacker on the same LAN can listen to the broadcast traffic once an admin user interacts with the device, and decrypt the credentials using their own implementation of the algorithm. With this password the attacker would have full control over the device configuration, allowing them to change its ip address or even reset it to factory default.
|
| Publication Date |
May 4, 2026, 10:16 a.m. |
| Registration Date |
May 5, 2026, 4:06 a.m. |
| Last Update |
May 5, 2026, 11:39 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:geovision:gv-ip_device_utility:9.0.5:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List