Remote Code Execution Via XMeye P2p Cloud In Xiongmai Ip Cameras, NVRs And DVRs

Title

Remote Code Execution via XMeye P2P Cloud

Product

Xiongmai IP Cameras, NVRs and DVRs incl. 3rd party OEM devices

Vulnerable Version

all incl. 3rd party OEM devices

Fixed Version

-

CVE Number

CVE-2018-17915, CVE-2018-17917, CVE-2018-17919

Impact

critical

Found

03.04.2018

By

Stefan Viehböck (Office Vienna) | SEC Consult Vulnerability Lab

SEC Consult hat kritische Schwachstellen in Xiongmai-Produkten und der "XMeye P2P Cloud"-Funktion identifiziert, die auch in vielen OEM-Geräten von Drittanbietern verwendet wird.

Zu diesem Thema gibt es einen Blog-Beitrag zu den identifizierten Sicherheitsproblemen mit weiteren Hintergrundinformationen: 
"Xiong-wer?! Warum Sicherheitslücken eines chinesischen Herstellers die ganze Welt betreffen"

Zum vollständigen Advisory (Englisch).

Stefan Viehböck / @2018

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.