CVE-2017-5368

ZoneMinder v1.30 a v1.29, webová aplikace CCTV serveru s otevřeným zdrojovým kódem, je náchylná k CSRF (Cross Site Request Forgery), což umožňuje vzdálenému útoku provádět změny ve webové aplikaci jako aktuální přihlášená oběť. Pokud oběť navštíví škodlivou webovou stránku, může útočník tiše a automaticky vytvořit nového administrátorského uživatele ve webové aplikaci pro vzdálenou perzistenci a další útoky. Adresa URL je /zm/index.php a ukázkové parametry mohou zahrnovat akci = uživatel uid = 0 nový uživatel [uživatelské jméno] = útočník1 nový uživatel [heslo] = heslo1234 konf_password = heslo1234 nový uživatel [systém] = upravit (mimo jiné).

BID: http://www.securityfocus.com/bid/96126
MISC: http://seclists.org/bugtraq/2017/Feb/6
MISC: http://seclists.org/fulldisclosure/2017/Feb/11
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5368

10 let
252 zemí
638k uživatelů
3486k výpočtů
Logo www.eleksys.cz
Logo secutek.cz
Logo blog.camcloud.com
Logo www.a1securitycameras.com
Logo www.elsec.cz
Logo www.systemy-stech.cz