CVE-2024-6979

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-6979
Amin Aliakbari, member of the AXIS OS Bug Bounty Program, has found a broken access control which would lead to less-privileged operator- and/or viewer accounts having more privileges than designed. The risk of exploitation is very low as it requires complex steps to execute, including knowing of account passwords and social engineering attacks in tricking the administrator to perform specific configurations on operator- and/or viewer-privileged accounts. Axis has released patched AXIS OS a version for the highlighted flaw. Please refer to the Axis security advisory for more information and solution.

6.8 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 0.9 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required HIGH

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://www.axis.com/dam/public/c3/44/5b/cve-2024-6979-en-US-448997.pdf
Configurations

No configuration.

History

08 Nov 2024, 09:15

Type Values Removed Values Added
CWE CWE-863

10 Sep 2024, 12:09

Type Values Removed Values Added
Summary
  • (es) Amin Aliakbari, miembro del programa Bug Bounty de AXIS OS, ha descubierto un control de acceso defectuoso que podría provocar que las cuentas de operador y/o espectador con menos privilegios tuvieran más privilegios de los previstos. El riesgo de explotación es muy bajo, ya que requiere pasos complejos para su ejecución, incluido el conocimiento de las contraseñas de las cuentas y ataques de ingeniería social para engañar al administrador para que realice configuraciones específicas en cuentas con privilegios de operador y/o espectador. Axis ha publicado una versión parcheada de AXIS OS para la falla resaltada. Consulte el aviso de seguridad de Axis para obtener más información y soluciones.

10 Sep 2024, 06:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-09-10 06:15

Updated : 2024-11-08 09:15

NVD link : CVE-2024-6979

Mitre link : CVE-2024-6979

CVE.ORG link : CVE-2024-6979

JSON object : View

Products Affected

No product.

CWE
CWE-863

Incorrect Authorization