CVE-2017-5368

Zoneminder V1.30 a V1.29, webová aplikace s otevřeným zdrojovým kódem CCTV serveru, je zranitelná vůči CSRF (Cross Weat Request Forgery), která umožňuje vzdálený útok provádět změny v webové aplikaci jako aktuální přihlášenou oběť. Pokud oběť navštíví škodlivou webovou stránku, může útočník tiše a automaticky vytvořit nového správcovského uživatele v rámci webové aplikace pro vzdálenou perzistenci a další útoky. URL je /zm/index.php a ukázkové parametry mohou zahrnovat akci = User uid = 0 newuser [username] = útočník1 newuser [heslo] = heslo1234 conf_password = heslo1234 newuser [System] = edit (mimo jiné).

BID: http://www.securityfocus.com/bid/96126
MISC: http://seclists.org/bugtraq/2017/Feb/6
MISC: http://seclists.org/fulldisclosure/2017/Feb/11
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5368

14 let
257 zemí
684k uživatelů
4530k výpočtů
Logo www.use-ip.co.uk
Logo www.eleksys.cz
Logo blog.camcloud.com
Logo www.clarecontrols.com
Logo www.systemy-stech.cz
Logo www.elsec.cz