CVE-2017-5368

ZoneMinder v1.30 a v1.29, webová aplikace s otevřeným zdrojem CCTV serveru, je zranitelná vůči CSRF (Cross Site Request Forgery), který umožňuje vzdálený útok provádět změny webové aplikace jako aktuálního přihlášeného oběti. Pokud oběť navštíví nebezpečnou webovou stránku, může útočník ticho a automaticky vytvořit nového administrátora v rámci webové aplikace pro vzdálené vytrvalosti a další útoky. Adresa URL je /zm/index.php a parametry vzorku mohou zahrnovat akci = user uid = 0 newUser [Username] = attacker1 newUser [Password] = Password1234 conf_password = Password1234 newUser [System] = Upravit (mimo jiné).

BID: http://www.securityfocus.com/bid/96126
MISC: http://seclists.org/bugtraq/2017/Feb/6
MISC: http://seclists.org/fulldisclosure/2017/Feb/11
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5368

8 let
232 zemí
222k uživatelů
1417k výpočtů
Logo www.systemy-stech.cz
Logo blog.camcloud.com
Logo www.inv-technology.com
Logo sectech.co.nz
Logo www.a1securitycameras.com
Logo www.i4wifi.cz