CVE-2017-5368

ZoneMinder v1.30 a v1.29, open-source CCTV serverová webová aplikace, je zranitelná vůči CSRF (Cross Site Request Forgery), který umožňuje vzdálenému útoku provést změny ve webové aplikaci jako aktuálně přihlášené oběti. Pokud oběť navštíví škodlivou webovou stránku, útočník může tiše a automaticky vytvořit nového administrátora v rámci webové aplikace pro vzdálenou persistenci a další útoky. Adresa URL je /zm/index.php a vzorové parametry mohou zahrnovat action=user uid=0 newUser[Username]=attacker1 newUser[Password]=Heslo1234 conf_password=Heslo1234 newUser[System]=Edit (mimo jiné).

BID: http://www.securityfocus.com/bid/96126
MISC: http://seclists.org/bugtraq/2017/Feb/6
MISC: http://seclists.org/fulldisclosure/2017/Feb/11
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5368

15 let
257 zemí
722k uživatelů
4714k výpočtů
Logo zoneway.cz
Logo ru.kedacom.com
Logo www.systemy-stech.cz
Logo sectech.co.nz
Logo cities-today.com
Logo www.inv-technology.com