CVE-2017-5368

ZoneMinder v1.30 a v1.29, webová aplikace CCTV serveru s otevřeným zdrojovým kódem, je zranitelná vůči CSRF (Cross Site Request Forgery), který umožňuje vzdálenému útoku provádět změny ve webové aplikaci jako aktuálně přihlášená oběť. Pokud oběť navštíví škodlivou webovou stránku, může útočník tiše a automaticky vytvořit nového uživatele správce ve webové aplikaci pro vzdálenou vytrvalost a další útoky. Adresa URL je /zm/index.php a ukázkové parametry mohou zahrnovat action = user uid = 0 newUser [Username] = attacker1 newUser [Password] = Password1234 conf_password = Password1234 newUser [System] = Edit (mimo jiné).

BID: http://www.securityfocus.com/bid/96126
MISC: http://seclists.org/bugtraq/2017/Feb/6
MISC: http://seclists.org/fulldisclosure/2017/Feb/11
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5368

9 let
247 zemí
453k uživatelů
2594k výpočtů
Logo www.kelcom.cz
Logo reolink.com
Logo www.elsec.cz
Logo www.inv-technology.com
Logo sectech.co.nz
Logo www.eleksys.cz