CVE-2017-5368

ZoneMinder v1.30 a v1.29, webová aplikace open-source CCTV serveru, je zranitelná vůči CSRF (Cross Site Request Forgery), který umožňuje vzdálený útok provádět změny webové aplikace jako aktuálního přihlášeného oběti. Pokud oběť navštíví škodlivou webovou stránku, může útočník v tichosti a automaticky vytvořit nového administrátora ve webové aplikaci pro vzdálené vytrvalosti a další útoky. Adresa URL je /zm/index.php a parametry vzorku mohou zahrnovat akci = user uid = 0 newUser [Username] = attacker1 newUser [Password] = Password1234 conf_password = Password1234 newUser [System] = Upravit (mimo jiné).

BID: http://www.securityfocus.com/bid/96126
MISC: http://seclists.org/bugtraq/2017/Feb/6
MISC: http://seclists.org/fulldisclosure/2017/Feb/11
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5368

8 let
231 zemí
189k uživatelů
1248k výpočtů
Logo www.i4wifi.cz
Logo www.systemy-stech.cz
Logo reolink.com
Logo www.power-shop.gr
Logo www.inv-technology.com
Logo ru.kedacom.com