CVE-2023-26036

ZoneMinder je bezplatná softwarová aplikace pro uzavřený televizní okruh s otevřeným zdrojovým kódem pro Linux, která podporuje IP, USB a analogové kamery. Verze starší než 1.36.33 a 1.37.33 obsahují chybu zabezpečení týkající se zahrnutí místních souborů (nedůvěryhodná vyhledávací cesta) prostřednictvím /web/index.php. Ovládáním $view lze spustit jakýkoli lokální soubor končící na .php. To by mělo být zmírněno voláním detaintPath, ale dentaintPath cestu správně neupravuje. Toho lze využít vytvořením cest jako "..././", které jsou nahrazeny "../". Tento problém je opraven ve verzích 1.36.33 a 1.37.33.

MISC: https://github.com/ZoneMinder/zoneminder/security/advisories/GHSA-h5m9-6jjc-cgmw
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26036

15 let
257 zemí
734k uživatelů
4771k výpočtů
Logo www.systemy-stech.cz
Logo www.elsec.cz
Logo www.use-ip.co.uk
Logo www.cctvforum.com
Logo ru.kedacom.com
Logo reolink.com