CVE-2017-5368

ZoneMinder v1.30 a v1.29, webová aplikace CCTV serveru s otevřeným zdrojovým kódem, je zranitelná vůči CSRF (Cross Site Request Forgery), který umožňuje vzdálenému útoku provádět změny ve webové aplikaci jako aktuálně přihlášená oběť. Pokud oběť navštíví škodlivou webovou stránku, může útočník tiše a automaticky vytvořit nového uživatele správce ve webové aplikaci pro vzdálenou vytrvalost a další útoky. URL je /zm/index.php a ukázkové parametry mohou zahrnovat action = user uid = 0 newUser [Username] = attacker1 newUser [Password] = Password1234 conf_password = Password1234 newUser [System] = Edit (mimo jiné).

BID: http://www.securityfocus.com/bid/96126
MISC: http://seclists.org/bugtraq/2017/Feb/6
MISC: http://seclists.org/fulldisclosure/2017/Feb/11
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5368

10 let
251 zemí
579k uživatelů
3203k výpočtů
Logo reolink.com
Logo www.eleksys.cz
Logo www.inv-technology.com
Logo www.a1securitycameras.com
Logo www.systemy-stech.cz
Logo www.elsec.cz