CVE-2017-5368

ZoneMinder v1.30 a v1.29, open-source CCTV serverová webová aplikace, je zranitelná vůči CSRF (Cross Site Request Forgery), který umožňuje vzdálenému útoku provést změny ve webové aplikaci jako aktuálně přihlášené oběti. Pokud oběť navštíví škodlivou webovou stránku, útočník může tiše a automaticky vytvořit nového administrátora ve webové aplikaci pro vzdálenou persistenci a další útoky. Adresa URL je /zm/index.php a vzorové parametry mohou zahrnovat action=user uid=0 newUser[Username]=attacker1 newUser[Password]=Heslo1234 conf_password=Heslo1234 newUser[System]=Edit (mimo jiné).

BID: http://www.securityfocus.com/bid/96126
MISC: http://seclists.org/bugtraq/2017/Feb/6
MISC: http://seclists.org/fulldisclosure/2017/Feb/11
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5368

10 let
255 zemí
696k uživatelů
3767k výpočtů
Logo www.i4wifi.cz
Logo www.systemy-stech.cz
Logo ru.kedacom.com
Logo www.inv-technology.com
Logo secutek.cz
Logo www.power-shop.gr