CVE-2026-12486: Критична вразливість ін’єкції команд у GeoVision GV-I/O Box 4E

Вразливість CVE-2026-12486 у GeoVision GV-I/O Box 4E дозволяє віддалено виконувати команди через мережу. Рекомендується оновлення та обмеження доступу.
CVE-2026-12486CVSS 9.1Web

CVE-2026-12486: Критична вразливість ін’єкції команд у GeoVision GV-I/O Box 4E

Вразливість CVE-2026-12486 у GeoVision GV-I/O Box 4E дозволяє віддалено виконувати команди через мережу. Рекомендується оновлення та обмеження доступу.

CVSS
9.1 CRITICAL
EPSS
74.73%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У пристрої GeoVision GV-I/O Box 4E версії 2.09 виявлено кілька вразливостей ін’єкції команд операційної системи через бібліотеку libNetSetObj.so. Зловмисник може надіслати спеціально сформований мережевий пакет, що призведе до виконання довільних команд на пристрої.

Бізнес-вплив

Ця вразливість дозволяє віддаленому атакуючому виконувати довільні команди з правами системи, що може призвести до повного контролю над пристроєм, порушення роботи мережевих сервісів та компрометації мережевої інфраструктури. Власникам та операторам IT-інфраструктури слід розглядати цю загрозу як критичну та пріоритетну для усунення.

Рекомендовані дії адміністратора

Рекомендується перевірити наявність оновлень або патчів від виробника GeoVision для пристрою GV-I/O Box 4E. Якщо оновлення недоступні, слід обмежити доступ до сервісів DVRSearch та Network.cgi, ретельно моніторити мережевий трафік на підозрілі запити та провести аудит логів на ознаки експлуатації. Важливо мінімізувати експозицію пристрою в мережі та впровадити додаткові заходи безпеки.

Джерела

Безпекові сповіщення

Отримуйте CVE-сповіщення до того, як вони стануть інцидентом

Надсилаємо вибрані інфраструктурні загрози українською з практичними нотатками для середовищ DataHouse.

  • DataHouse: адміністрування серверів і безпечна хмара
  • Hostilla.pl: хостинг і поштові послуги
  • SecDNS.pl: безплатний рівень DNS-безпеки