CVE-2017-5368

ZoneMinder v1.30 a v1.29, webová aplikace CCTV serveru s otevřeným zdrojovým kódem, je zranitelná vůči CSRF (Cross Site Request Forgery), která umožňuje vzdálenému útoku provádět změny webové aplikace jako aktuální přihlášený oběť. Pokud oběť navštíví škodlivou webovou stránku, může útočník v rámci webové aplikace mlčky a automaticky vytvořit nového administrátora pro vzdálenou perzistenci a další útoky. URL je /zm/index.php a vzorové parametry by mohly zahrnovat action = user uid = 0 newUser [Username] = útočník1 newUser [Heslo] = Password1234 conf_password = Password1234 newUser [System] = Edit (mezi ostatními).

BID: http://www.securityfocus.com/bid/96126
MISC: http://seclists.org/bugtraq/2017/Feb/6
MISC: http://seclists.org/fulldisclosure/2017/Feb/11
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5368

8 let
236 zemí
307k uživatelů
1852k výpočtů
Logo www.power-shop.gr
Logo www.elsec.cz
Logo sectech.co.nz
Logo www.a1securitycameras.com
Logo blog.camcloud.com
Logo www.i4wifi.cz