CVE-2017-5368

ZoneMinder v1.30 a v1.29, open-source CCTV serverová webová aplikace, je zranitelná vůči CSRF (Cross Site Request Forgery), který umožňuje vzdálenému útoku provést změny ve webové aplikaci jako aktuálně přihlášené oběti. Pokud oběť navštíví škodlivou webovou stránku, útočník může tiše a automaticky vytvořit nového administrátora v rámci webové aplikace pro vzdálenou persistenci a další útoky. Adresa URL je /zm/index.php a vzorové parametry mohou zahrnovat action=user uid=0 newUser[Username]=attacker1 newUser[Password]=Heslo1234 conf_password=Heslo1234 newUser[System]=Edit (mimo jiné).

BID: http://www.securityfocus.com/bid/96126
MISC: http://seclists.org/bugtraq/2017/Feb/6
MISC: http://seclists.org/fulldisclosure/2017/Feb/11
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5368

14 let
257 zemí
715k uživatelů
4681k výpočtů
Logo www.clarecontrols.com
Logo www.power-shop.gr
Logo www.inv-technology.com
Logo reolink.com
Logo sectech.co.nz
Logo www.eleksys.cz