NVD Vulnerability Detail

CVE-2020-24217

Summary	An issue was discovered in the box application on HiSilicon based IPTV/H.264/H.265 video encoders. The file-upload endpoint does not enforce authentication. Attackers can send an unauthenticated HTTP request to upload a custom firmware component, possibly in conjunction with command injection, to achieve arbitrary code execution.
Publication Date	Oct. 6, 2020, 11:15 p.m.
Registration Date	Jan. 26, 2021, 11:55 a.m.
Last Update	Nov. 21, 2024, 2:14 p.m.

CVSS3.1 : CRITICAL
スコア	9.8
Vector	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : HIGH
Score	7.5
Vector	AV:N/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:szuray:iptv\/h.264_video_encoder_firmware:-:::::::*
execution environment
1	cpe:2.3:h:szuray:uaioe264-1u:-:::::::*
2	cpe:2.3:h:szuray:uce264-1-mini:-:::::::*
3	cpe:2.3:h:szuray:uce264-1wb-mini:-:::::::*
4	cpe:2.3:h:szuray:uce264-4-1u:-:::::::*
5	cpe:2.3:h:szuray:uce264-8-1u:-:::::::*
6	cpe:2.3:h:szuray:uhae264-16:-:::::::*
7	cpe:2.3:h:szuray:uhce264-1:-:::::::*
8	cpe:2.3:h:szuray:uhce264-16p32:-:::::::*
9	cpe:2.3:h:szuray:uhce264-1p2:-:::::::*
10	cpe:2.3:h:szuray:uhce264-1p2-1u:-:::::::*
11	cpe:2.3:h:szuray:uhce264-1s:-:::::::*
12	cpe:2.3:h:szuray:uhce264-1w:-:::::::*
13	cpe:2.3:h:szuray:uhce264-1ws:-:::::::*
14	cpe:2.3:h:szuray:uhce264-4p8:-:::::::*
15	cpe:2.3:h:szuray:uhe264-1-4k:-:::::::*
16	cpe:2.3:h:szuray:uhe264-16:-:::::::*
17	cpe:2.3:h:szuray:uhe264-16l-3u:-:::::::*
18	cpe:2.3:h:szuray:uhe264-16s-2u:-:::::::*
19	cpe:2.3:h:szuray:uhe264-1l:-:::::::*
20	cpe:2.3:h:szuray:uhe264-1l-4k:-:::::::*
21	cpe:2.3:h:szuray:uhe264-1lw:-:::::::*
22	cpe:2.3:h:szuray:uhe264-1s:-:::::::*
23	cpe:2.3:h:szuray:uhe264-1s-mini:-:::::::*
24	cpe:2.3:h:szuray:uhe264-1w-mini:-:::::::*
25	cpe:2.3:h:szuray:uhe264-1wb-4g:-:::::::*
26	cpe:2.3:h:szuray:uhe264-1wb-mini:-:::::::*
27	cpe:2.3:h:szuray:uhe264-1wbs-2b:-:::::::*
28	cpe:2.3:h:szuray:uhe264-1wbs-mini:-:::::::*
29	cpe:2.3:h:szuray:uhe264-1ws-mini:-:::::::*
30	cpe:2.3:h:szuray:uhe264-2-1u:-:::::::*
31	cpe:2.3:h:szuray:uhe264-4:-:::::::*
32	cpe:2.3:h:szuray:uhe264-4-1u:-:::::::*
33	cpe:2.3:h:szuray:uhe264-4l-1u:-:::::::*
34	cpe:2.3:h:szuray:uhe264-8:-:::::::*
35	cpe:2.3:h:szuray:uhe264-8-1u:-:::::::*
36	cpe:2.3:h:szuray:uhe264-8l-3u:-:::::::*
37	cpe:2.3:h:szuray:uhe264-8s-2u:-:::::::*
38	cpe:2.3:h:szuray:use264-16-3u:-:::::::*
39	cpe:2.3:h:szuray:use264-1l:-:::::::*
40	cpe:2.3:h:szuray:use264-1l-1u:-:::::::*
41	cpe:2.3:h:szuray:use264-1l-mini:-:::::::*
42	cpe:2.3:h:szuray:use264-1lw:-:::::::*
43	cpe:2.3:h:szuray:use264-1wb-l:-:::::::*
44	cpe:2.3:h:szuray:use264-4l-1u:-:::::::*
45	cpe:2.3:h:szuray:use264-8-1u:-:::::::*
46	cpe:2.3:h:szuray:uve264-1l:-:::::::*
47	cpe:2.3:h:szuray:uve264-1lw:-:::::::*

Configuration2		or higher	or less	more than	less than
cpe:2.3:o:szuray:iptv\/h.265_video_encoder_firmware:-:::::::*
execution environment
1	cpe:2.3:h:szuray:uaioe265-1u:-:::::::*
2	cpe:2.3:h:szuray:uhae265-1-mini:-:::::::*
3	cpe:2.3:h:szuray:uhae265-1wb-mini:-:::::::*
4	cpe:2.3:h:szuray:uhae265-4-1u:-:::::::*
5	cpe:2.3:h:szuray:uhe265-1:-:::::::*
6	cpe:2.3:h:szuray:uhe265-1-1u:-:::::::*
7	cpe:2.3:h:szuray:uhe265-1-4k:-:::::::*
8	cpe:2.3:h:szuray:uhe265-1-mini:-:::::::*
9	cpe:2.3:h:szuray:uhe265-16-3u:-:::::::*
10	cpe:2.3:h:szuray:uhe265-16l-3u:-:::::::*
11	cpe:2.3:h:szuray:uhe265-1l:-:::::::*
12	cpe:2.3:h:szuray:uhe265-1lw:-:::::::*
13	cpe:2.3:h:szuray:uhe265-1s-4k:-:::::::*
14	cpe:2.3:h:szuray:uhe265-1s-mini:-:::::::*
15	cpe:2.3:h:szuray:uhe265-1w:-:::::::*
16	cpe:2.3:h:szuray:uhe265-1w-4k:-:::::::*
17	cpe:2.3:h:szuray:uhe265-1w-mini:-:::::::*
18	cpe:2.3:h:szuray:uhe265-1wb-4g:-:::::::*
19	cpe:2.3:h:szuray:uhe265-1wb-mini:-:::::::*
20	cpe:2.3:h:szuray:uhe265-1wbs-mini:-:::::::*
21	cpe:2.3:h:szuray:uhe265-2-1u:-:::::::*
22	cpe:2.3:h:szuray:uhe265-4:-:::::::*
23	cpe:2.3:h:szuray:uhe265-4-1u:-:::::::*
24	cpe:2.3:h:szuray:uhe265-4s:-:::::::*
25	cpe:2.3:h:szuray:uhe265-4s-1u:-:::::::*
26	cpe:2.3:h:szuray:uhe265-8-1u:-:::::::*
27	cpe:2.3:h:szuray:uhe265-8l-3u:-:::::::*
28	cpe:2.3:h:szuray:uhe265-8s-1u:-:::::::*
29	cpe:2.3:h:szuray:uhse265-1u:-:::::::*
30	cpe:2.3:h:szuray:use265-1-1u:-:::::::*
31	cpe:2.3:h:szuray:use265-1-mini:-:::::::*
32	cpe:2.3:h:szuray:use265-16l-3u:-:::::::*
33	cpe:2.3:h:szuray:use265-1l:-:::::::*
34	cpe:2.3:h:szuray:use265-1l-1u:-:::::::*
35	cpe:2.3:h:szuray:use265-1l-mini:-:::::::*
36	cpe:2.3:h:szuray:use265-1lw:-:::::::*
37	cpe:2.3:h:szuray:use265-1w-mini:-:::::::*
38	cpe:2.3:h:szuray:use265-1wb-4g:-:::::::*
39	cpe:2.3:h:szuray:use265-1wb-l:-:::::::*
40	cpe:2.3:h:szuray:use265-1wb-mini:-:::::::*
41	cpe:2.3:h:szuray:use265-2-1u:-:::::::*
42	cpe:2.3:h:szuray:use265-4-1u:-:::::::*
43	cpe:2.3:h:szuray:use265-4l-1u:-:::::::*
44	cpe:2.3:h:szuray:use265-8-1u:-:::::::*
45	cpe:2.3:h:szuray:uve265-1:-:::::::*
46	cpe:2.3:h:szuray:uve265-1w:-:::::::*

Configuration3		or higher	or less	more than	less than
cpe:2.3:o:jtechdigital:h.264_iptv_encoder_1080p\@60hz_firmware:-:::::::*
execution environment
1	cpe:2.3:h:jtechdigital:h.264_iptv_encoder_1080p\@60hz:-:::::::*

Configuration4		or higher	or less	more than	less than
cpe:2.3:o:provideoinstruments:vecaster-hd-h264_firmware:-:::::::*
execution environment
1	cpe:2.3:h:provideoinstruments:vecaster-hd-h264:-:::::::*

Configuration5		or higher	or less	more than	less than
cpe:2.3:o:provideoinstruments:vecaster-hd-hevc_firmware:-:::::::*
execution environment
1	cpe:2.3:h:provideoinstruments:vecaster-hd-hevc:-:::::::*

Configuration6		or higher	or less	more than	less than
cpe:2.3:o:provideoinstruments:vecaster-4k-hevc_firmware:-:::::::*
execution environment
1	cpe:2.3:h:provideoinstruments:vecaster-4k-hevc:-:::::::*

Configuration7		or higher	or less	more than	less than
cpe:2.3:o:provideoinstruments:vecaster-hd-sdi_firmware:-:::::::*
execution environment
1	cpe:2.3:h:provideoinstruments:vecaster-hd-sdi:-:::::::*

Related information, measures and tools

No	URL	タグ
1	http://packetstormsecurity.com/files/159597/HiSilicon-Video-Encoder-Command-Injection.html	Exploit Third Party Advisory VDB Entry
2	http://packetstormsecurity.com/files/159597/HiSilicon-Video-Encoder-Command-Injection.html	Exploit Third Party Advisory VDB Entry
3	http://packetstormsecurity.com/files/159599/HiSilicon-Video-Encoder-Malicious-Firmware-Code-Execution.html	Exploit Third Party Advisory VDB Entry
4	http://packetstormsecurity.com/files/159599/HiSilicon-Video-Encoder-Malicious-Firmware-Code-Execution.html	Exploit Third Party Advisory VDB Entry
5	https://kojenov.com/2020-09-15-hisilicon-encoder-vulnerabilities/	Exploit Third Party Advisory
6	https://kojenov.com/2020-09-15-hisilicon-encoder-vulnerabilities/	Exploit Third Party Advisory
7	https://www.kb.cert.org/vuls/id/896979	Third Party Advisory US Government Resource
8	https://www.kb.cert.org/vuls/id/896979	Third Party Advisory US Government Resource

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-306	重要な機能に対する認証の欠如解説	https://cwe.mitre.org/data/definitions/306.html

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:szuray:iptv\/h.264_video_encoder_firmware:-:::::::*
execution environment
1	cpe:2.3:h:szuray:uaioe264-1u:-:::::::*
2	cpe:2.3:h:szuray:uce264-1-mini:-:::::::*
3	cpe:2.3:h:szuray:uce264-1wb-mini:-:::::::*
4	cpe:2.3:h:szuray:uce264-4-1u:-:::::::*
5	cpe:2.3:h:szuray:uce264-8-1u:-:::::::*
6	cpe:2.3:h:szuray:uhae264-16:-:::::::*
7	cpe:2.3:h:szuray:uhce264-1:-:::::::*
8	cpe:2.3:h:szuray:uhce264-16p32:-:::::::*
9	cpe:2.3:h:szuray:uhce264-1p2:-:::::::*
10	cpe:2.3:h:szuray:uhce264-1p2-1u:-:::::::*
11	cpe:2.3:h:szuray:uhce264-1s:-:::::::*
12	cpe:2.3:h:szuray:uhce264-1w:-:::::::*
13	cpe:2.3:h:szuray:uhce264-1ws:-:::::::*
14	cpe:2.3:h:szuray:uhce264-4p8:-:::::::*
15	cpe:2.3:h:szuray:uhe264-1-4k:-:::::::*
16	cpe:2.3:h:szuray:uhe264-16:-:::::::*
17	cpe:2.3:h:szuray:uhe264-16l-3u:-:::::::*
18	cpe:2.3:h:szuray:uhe264-16s-2u:-:::::::*
19	cpe:2.3:h:szuray:uhe264-1l:-:::::::*
20	cpe:2.3:h:szuray:uhe264-1l-4k:-:::::::*
21	cpe:2.3:h:szuray:uhe264-1lw:-:::::::*
22	cpe:2.3:h:szuray:uhe264-1s:-:::::::*
23	cpe:2.3:h:szuray:uhe264-1s-mini:-:::::::*
24	cpe:2.3:h:szuray:uhe264-1w-mini:-:::::::*
25	cpe:2.3:h:szuray:uhe264-1wb-4g:-:::::::*
26	cpe:2.3:h:szuray:uhe264-1wb-mini:-:::::::*
27	cpe:2.3:h:szuray:uhe264-1wbs-2b:-:::::::*
28	cpe:2.3:h:szuray:uhe264-1wbs-mini:-:::::::*
29	cpe:2.3:h:szuray:uhe264-1ws-mini:-:::::::*
30	cpe:2.3:h:szuray:uhe264-2-1u:-:::::::*
31	cpe:2.3:h:szuray:uhe264-4:-:::::::*
32	cpe:2.3:h:szuray:uhe264-4-1u:-:::::::*
33	cpe:2.3:h:szuray:uhe264-4l-1u:-:::::::*
34	cpe:2.3:h:szuray:uhe264-8:-:::::::*
35	cpe:2.3:h:szuray:uhe264-8-1u:-:::::::*
36	cpe:2.3:h:szuray:uhe264-8l-3u:-:::::::*
37	cpe:2.3:h:szuray:uhe264-8s-2u:-:::::::*
38	cpe:2.3:h:szuray:use264-16-3u:-:::::::*
39	cpe:2.3:h:szuray:use264-1l:-:::::::*
40	cpe:2.3:h:szuray:use264-1l-1u:-:::::::*
41	cpe:2.3:h:szuray:use264-1l-mini:-:::::::*
42	cpe:2.3:h:szuray:use264-1lw:-:::::::*
43	cpe:2.3:h:szuray:use264-1wb-l:-:::::::*
44	cpe:2.3:h:szuray:use264-4l-1u:-:::::::*
45	cpe:2.3:h:szuray:use264-8-1u:-:::::::*
46	cpe:2.3:h:szuray:uve264-1l:-:::::::*
47	cpe:2.3:h:szuray:uve264-1lw:-:::::::*

Configuration2		or higher	or less	more than	less than
cpe:2.3:o:szuray:iptv\/h.265_video_encoder_firmware:-:::::::*
execution environment
1	cpe:2.3:h:szuray:uaioe265-1u:-:::::::*
2	cpe:2.3:h:szuray:uhae265-1-mini:-:::::::*
3	cpe:2.3:h:szuray:uhae265-1wb-mini:-:::::::*
4	cpe:2.3:h:szuray:uhae265-4-1u:-:::::::*
5	cpe:2.3:h:szuray:uhe265-1:-:::::::*
6	cpe:2.3:h:szuray:uhe265-1-1u:-:::::::*
7	cpe:2.3:h:szuray:uhe265-1-4k:-:::::::*
8	cpe:2.3:h:szuray:uhe265-1-mini:-:::::::*
9	cpe:2.3:h:szuray:uhe265-16-3u:-:::::::*
10	cpe:2.3:h:szuray:uhe265-16l-3u:-:::::::*
11	cpe:2.3:h:szuray:uhe265-1l:-:::::::*
12	cpe:2.3:h:szuray:uhe265-1lw:-:::::::*
13	cpe:2.3:h:szuray:uhe265-1s-4k:-:::::::*
14	cpe:2.3:h:szuray:uhe265-1s-mini:-:::::::*
15	cpe:2.3:h:szuray:uhe265-1w:-:::::::*
16	cpe:2.3:h:szuray:uhe265-1w-4k:-:::::::*
17	cpe:2.3:h:szuray:uhe265-1w-mini:-:::::::*
18	cpe:2.3:h:szuray:uhe265-1wb-4g:-:::::::*
19	cpe:2.3:h:szuray:uhe265-1wb-mini:-:::::::*
20	cpe:2.3:h:szuray:uhe265-1wbs-mini:-:::::::*
21	cpe:2.3:h:szuray:uhe265-2-1u:-:::::::*
22	cpe:2.3:h:szuray:uhe265-4:-:::::::*
23	cpe:2.3:h:szuray:uhe265-4-1u:-:::::::*
24	cpe:2.3:h:szuray:uhe265-4s:-:::::::*
25	cpe:2.3:h:szuray:uhe265-4s-1u:-:::::::*
26	cpe:2.3:h:szuray:uhe265-8-1u:-:::::::*
27	cpe:2.3:h:szuray:uhe265-8l-3u:-:::::::*
28	cpe:2.3:h:szuray:uhe265-8s-1u:-:::::::*
29	cpe:2.3:h:szuray:uhse265-1u:-:::::::*
30	cpe:2.3:h:szuray:use265-1-1u:-:::::::*
31	cpe:2.3:h:szuray:use265-1-mini:-:::::::*
32	cpe:2.3:h:szuray:use265-16l-3u:-:::::::*
33	cpe:2.3:h:szuray:use265-1l:-:::::::*
34	cpe:2.3:h:szuray:use265-1l-1u:-:::::::*
35	cpe:2.3:h:szuray:use265-1l-mini:-:::::::*
36	cpe:2.3:h:szuray:use265-1lw:-:::::::*
37	cpe:2.3:h:szuray:use265-1w-mini:-:::::::*
38	cpe:2.3:h:szuray:use265-1wb-4g:-:::::::*
39	cpe:2.3:h:szuray:use265-1wb-l:-:::::::*
40	cpe:2.3:h:szuray:use265-1wb-mini:-:::::::*
41	cpe:2.3:h:szuray:use265-2-1u:-:::::::*
42	cpe:2.3:h:szuray:use265-4-1u:-:::::::*
43	cpe:2.3:h:szuray:use265-4l-1u:-:::::::*
44	cpe:2.3:h:szuray:use265-8-1u:-:::::::*
45	cpe:2.3:h:szuray:uve265-1:-:::::::*
46	cpe:2.3:h:szuray:uve265-1w:-:::::::*