CVE-2017-5368

Zoneminder V1.30 a V1.29, webová aplikace s otevřeným zdrojovým kódem CCTV serveru, je zranitelná vůči CSRF (Cross Weat Request Forgery), která umožňuje vzdálený útok provádět změny v webové aplikaci jako aktuální přihlášenou oběť. Pokud oběť navštíví škodlivou webovou stránku, může útočník tiše a automaticky vytvořit nového správcovského uživatele v rámci webové aplikace pro vzdálenou perzistenci a další útoky. URL je /zm/index.php a ukázkové parametry mohou zahrnovat akci = User uid = 0 newuser [username] = útočník1 newuser [heslo] = heslo1234 conf_password = heslo1234 newuser [System] = edit (mimo jiné).

BID: http://www.securityfocus.com/bid/96126
MISC: http://seclists.org/bugtraq/2017/Feb/6
MISC: http://seclists.org/fulldisclosure/2017/Feb/11
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5368

14 let
257 zemí
685k uživatelů
4536k výpočtů
Logo zoneway.cz
Logo reolink.com
Logo www.i4wifi.cz
Logo www.cctvforum.com
Logo blog.camcloud.com
Logo www.use-ip.co.uk