CVE-2026-7161 [重大] | Information Disclosure（Gv-Ip Device Utility）

An insufficient encryption vulnerability exists in the Device Authentication functionality of GeoVision GV-IP Device Utility 9.0.5. Listening to broadcast packets can lead to credentials leak. An attacker can listen to broadcast messages to trigger this vulnerability. When interacting with various Geovision devices on the network, the utility may send privileged commands; in order to do so, the username and password of the device need to be provided. In some instances the command is broadcasted over UDP and the username/password are encrypted using a cryptographic protocol that appears to be derivated from Blowfish. However the symmetric key used for the encryption is also included in the packet, and thus the security of the username/password only relies on the "obscurity" of the encryption scheme. An attacker on the same LAN can listen to the broadcast traffic once an admin user interacts with the device, and decrypt the credentials using their own implementation of the algorithm. With this password the attacker would have full control over the device configuration, allowing them to change its ip address or even reset it to factory default.

#	日付	旧 EPSS スコア	新 EPSS スコア	Δ（新 − 旧）
1	2026-06-15	0.05%	0.19%	+0.14%
2	2026-06-05	0.04%	0.05%	+0.01%
3	2026-05-04	—	0.04%	—

日付

旧 EPSS スコア

新 EPSS スコア

Δ（新 − 旧）

2026-06-15

0.05%

0.19%

+0.14%

2026-06-05

0.04%

0.05%

+0.01%

2026-05-04

—

0.04%

—

ベーススコア	バージョン	深刻度	ベクトル	悪用しやすさ	影響	スコアの出典
9.3	3.1	CRITICAL	`CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H` クリックして展開攻撃ベクター (AV:N) インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。攻撃の複雑さ (AC:L) 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。必要な権限 (PR:N) 事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。ユーザーの関与 (UI:R) インストールの許可、設定変更、悪意あるファイルの実行など、人の一度の判断がトリガーになる。スコープ (S:C) 脆弱箇所を足がかりに、別コンポーネントや別権限域まで影響が広がりうる。機密性への影響 (C:H) 広範な機微データの読み取りや持ち出しが現実的。完全性への影響 (I:N) 改ざん・なりすましによる信頼毀損は軽微か、想定されない。可用性への影響 (A:H) 長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。	2.8	5.8	0df08a0e-a200-4957-9bb0-084f562506f9

ベーススコア

バージョン

深刻度

ベクトル

悪用しやすさ

影響

スコアの出典

9.3

3.1

CRITICAL

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H クリックして展開

攻撃ベクター (AV:N): インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:L): 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。
必要な権限 (PR:N): 事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。
ユーザーの関与 (UI:R): インストールの許可、設定変更、悪意あるファイルの実行など、人の一度の判断がトリガーになる。
スコープ (S:C): 脆弱箇所を足がかりに、別コンポーネントや別権限域まで影響が広がりうる。
機密性への影響 (C:H): 広範な機微データの読み取りや持ち出しが現実的。
完全性への影響 (I:N): 改ざん・なりすましによる信頼毀損は軽微か、想定されない。
可用性への影響 (A:H): 長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。

2.8

5.8

0df08a0e-a200-4957-9bb0-084f562506f9

CVE-2026-7161 の影響を受けるソフトウェア／構成

ベンダー	製品	バージョン	生の CPE
geovision	gv-ip_device_utility	9.0.5	cpe:2.3:a:geovision:gv-ip_device_utility:9.0.5:::::::*

CVE-2026-7161 の参考情報

URL	タグ
https://talosintelligence.com/vulnerability_reports/	Third Party Advisory
https://www.geovision.com.tw/cyber_security.php	Vendor Advisory
https://www.talosintelligence.com/vulnerability_reports/TALOS-2025-2322

URL

タグ

https://talosintelligence.com/vulnerability_reports/

Third Party Advisory

https://www.geovision.com.tw/cyber_security.php

Vendor Advisory

https://www.talosintelligence.com/vulnerability_reports/TALOS-2025-2322

CVE-2026-7161 | GeoVision GV-IP Device Utility Device Authentication insufficient encryption vulnerability

CVE-2026-7161 の EPSS（Exploit Prediction Scoring System）スコア

CVE-2026-7161 の CVSS（Common Vulnerability Scoring System）指標

CVE-2026-7161 の弱点分類（列挙）

CVE-2026-7161 の GitHub Security Advisory

CVE-2026-7161 の影響を受けるソフトウェア／構成

CVE-2026-7161 の参考情報