CVE-2017-5368

ZoneMinder v1.30 a v1.29, webová aplikace CCTV serveru s otevřeným zdrojovým kódem, je zranitelná vůči CSRF (Cross Site Request Forgery), která umožňuje vzdálenému útoku provést změny webové aplikace jako aktuálně přihlášeného oběti. Pokud oběť navštíví škodlivou webovou stránku, může útočník v rámci webové aplikace mlčky a automaticky vytvořit nového administrátora pro vzdálenou perzistenci a další útoky. URL je /zm/index.php a ukázkové parametry by mohly zahrnovat action = user uid = 0 newUser [Username] = útočník1 newUser [Heslo] = Password1234 conf_password = Password1234 newUser [System] = Edit (mimo jiné).

BID: http://www.securityfocus.com/bid/96126
MISC: http://seclists.org/bugtraq/2017/Feb/6
MISC: http://seclists.org/fulldisclosure/2017/Feb/11
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5368

8 let
235 zemí
250k uživatelů
1558k výpočtů
Logo www.i4wifi.cz
Logo www.inv-technology.com
Logo sectech.co.nz
Logo www.eleksys.cz
Logo www.a1securitycameras.com
Logo www.elsec.cz