CVE-2017-5368

ZoneMinder v1.30 a v1.29, open-source CCTV serverová webová aplikace, je zranitelná vůči CSRF (Cross Site Request Forgery), který umožňuje vzdálenému útoku provést změny ve webové aplikaci jako aktuálně přihlášené oběti. Pokud oběť navštíví škodlivou webovou stránku, útočník může tiše a automaticky vytvořit nového administrátora ve webové aplikaci pro vzdálenou persistenci a další útoky. Adresa URL je /zm/index.php a vzorové parametry mohou zahrnovat action=user uid=0 newUser[Username]=attacker1 newUser[Password]=Heslo1234 conf_password=Heslo1234 newUser[System]=Edit (mimo jiné).

BID: http://www.securityfocus.com/bid/96126
MISC: http://seclists.org/bugtraq/2017/Feb/6
MISC: http://seclists.org/fulldisclosure/2017/Feb/11
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5368

11 let
253 zemí
587k uživatelů
3953k výpočtů