CVE-2023-26036

Zoneminder je bezplatná televizní aplikace s otevřeným zdrojovým zdrojem pro Linux, která podporuje IP, USB a analogové kamery. Verze před 1.36.33 a 1.37.33 obsahují inkluzi lokálního souboru (nedůvěryhodná vyhledávací cesta) zranitelnost prostřednictvím /web/index.php. Řízením $ View lze provést jakýkoli místní soubor končící v .php. To by se mělo zmírnit voláním DetaintPath, však DentaintPath nezíská správně karanténu. To lze využít konstrukcí cest jako „..././“, Které jsou nahrazeny „../“. Tento problém je opraven ve verzích 1.36.33 a 1.37.33.

MISC: https://github.com/ZoneMinder/zoneminder/security/advisories/GHSA-h5m9-6jjc-cgmw
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26036

14 let
257 zemí
685k uživatelů
4536k výpočtů
Logo www.clarecontrols.com
Logo www.power-shop.gr
Logo zoneway.cz
Logo reolink.com
Logo www.use-ip.co.uk
Logo blog.camcloud.com