CVE-2017-5368

ZoneMinder v1.30 a v1.29, open-source CCTV serverová webová aplikace, je zranitelná vůči CSRF (Cross Site Request Forgery), který umožňuje vzdálenému útoku provést změny ve webové aplikaci jako aktuálně přihlášené oběti. Pokud oběť navštíví škodlivou webovou stránku, útočník může tiše a automaticky vytvořit nového administrátora v rámci webové aplikace pro vzdálenou persistenci a další útoky. Adresa URL je /zm/index.php a vzorové parametry mohou zahrnovat action=user uid=0 newUser[Username]=attacker1 newUser[Password]=Heslo1234 conf_password=Heslo1234 newUser[System]=Edit (mimo jiné).

BID: http://www.securityfocus.com/bid/96126
MISC: http://seclists.org/bugtraq/2017/Feb/6
MISC: http://seclists.org/fulldisclosure/2017/Feb/11
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5368

14 let
257 zemí
713k uživatelů
4673k výpočtů
Logo reolink.com
Logo www.elsec.cz
Logo zoneway.cz
Logo cities-today.com
Logo www.cctvforum.com
Logo sectech.co.nz