nvd
Wowza
Уязвимости
26
Эксплуатируемые
0
Критический
3
Высокий
11
Топ продуктов
Топ уязвимостей
CVE-2018-7047Проблема обнаружена в MBeans Server в Wowza Streaming Engine до версии 4.7.1. Файловая система может быть прочитана и записана через JMX с использованием учетных данных JMX по умолчанию (также возможно удаленное выполнение кода).
CVE-2024-52052Wowza Streaming Engine версии ниже 4.9.1 позволяет аутентифицированному администратору Streaming Engine Manager определять пользовательское свойство приложения и отравлять цель потока для удаленного выполнения кода с высокими привилегиями.
CVE-2018-19365REST API в Wowza Streaming Engine 4.7.4.01 позволяет перемещаться по структуре каталогов и извлекать файл через удаленный, специально созданный HTTP-запрос.
CVE-2020-9004Удаленная аутентифицированная уязвимость обхода авторизации в Wowza Streaming Engine 4.8.0 и более ранних версиях позволяет любому пользователю только для чтения отправлять запросы на панель администрирования для изменения функциональности. Например, пользователь только для чтения может активировать порт Java JMX в неаутентифицированном режиме и выполнять команды ОС с привилегиями root. Эта проблема была решена в Wowza Streaming Engine 4.8.5.
CVE-2024-52053Межсайтовый скриптинг (XSS) в компоненте Manager Wowza Streaming Engine версии ниже 4.9.1 позволяет неаутентифицированному злоумышленнику внедрять клиентский JavaScript в веб-панель управления для автоматического захвата учетных записей администратора.
CVE-2016-20034Wowza Streaming Engine 4.5.0 содержит уязвимость привилегий, которая позволяет аутентифицированным пользователям только для чтения повысить привилегии администратору, манипулируя параметрами POST. Злоумышленники могут отправлять запросы POST на конечную точку редактирования пользователя с набором AccessLvel для параметров адmin и advUser, установленных для «правда» и «включены», чтобы получить административный доступ.
CVE-2016-20033Wowza Streaming Engine 4.5.0 содержит локальную уязвимость эскалации привилегий, которая позволяет аутентифицированным пользователям расширять привилегии, заменяя исполняемые файлы из-за ненадлежащих разрешений на файлы, предоставляющих полный доступ к группе Everyone. Злоумышленники могут заменить nssm_x64.exe двоичный файл в каталогах диспетчера и службы двигателя вредоносными исполняемыми файлами для выполнения кода с привилегиями LocalSystem при перезапуске сервисов.
CVE-2024-52055Обход пути в компоненте Manager Wowza Streaming Engine ниже версии 4.9.1 позволяет пользователю с правами администратора читать любой файл в файловой системе, если целевой каталог содержит файл определения XML.
CVE-2021-35491Уязвимость Cross-Site Request Forgery (CSRF) в Wowza Streaming Engine до версии 4.8.11+5 позволяет удаленному злоумышленнику удалить учетную запись пользователя через параметр userName /enginemanager/server/user/delete.htm. Приложение не реализует токен CSRF для GET-запроса. Эта проблема была решена в Wowza Streaming Engine версии 4.8.14.
CVE-2019-7656Уязвимость повышения привилегий в Wowza Streaming Engine 4.8.0 и более ранних версиях позволяет любому непривилегированному пользователю Linux повышать свои привилегии до root. Установщик устанавливает слишком ослабленные разрешения на основные файлы программ /usr/local/WowzaStreamingEngine/bin/*. Внедрив полезную нагрузку в один из этих файлов, он будет запущен с теми же привилегиями, что и сервер Wowza, root. Например, /usr/local/WowzaStreamingEngine/bin/tune.sh можно заменить троянским конем. Эта проблема была решена в Wowza Streaming Engine 4.8.5.
CVE-2019-19455Wowza Streaming Engine до версии 4.8.5 имеет небезопасные разрешения, которые могут позволить локальному злоумышленнику повысить привилегии в / usr / local / WowzaStreamingEngine / manager / bin / в Linux-версии сервера, записывая произвольные команды в любой файл и выполняя их от имени root. Эта проблема была решена в Wowza Streaming Engine 4.8.5.
CVE-2019-19454Произвольная загрузка файлов была обнаружена в функциональности «Загрузить журнал» Wowza Streaming Engine <= 4.x.x. Эта проблема была решена в Wowza Streaming Engine 4.8.0.
CVE-2018-7048Проблема обнаружена в Wowza Streaming Engine до версии 4.7.1. Существует отказ в обслуживании (потребление памяти) через специально созданный HTTP-запрос.
CVE-2021-31540Wowza Streaming Engine до 4.8.5 (в установке по умолчанию) имеет неправильные разрешения файлов конфигурации в каталоге conf/. Обычный локальный пользователь может читать и записывать все файлы конфигурации, например, изменять конфигурацию сервера приложений.
CVE-2024-52056Обход пути в компоненте Manager Wowza Streaming Engine ниже версии 4.9.1 позволяет пользователю с правами администратора удалять любой каталог в файловой системе, если целевой каталог содержит файл определения XML.
CVE-2016-20035Wowza Streaming Engine 4.5.0 содержит уязвимость подделки запросов, которая позволяет злоумышленникам выполнять административные действия путем создания вредоносных веб-страниц. Злоумышленники могут обмануть зарегистрированных администраторов, посетив вредоносный сайт, который отправляет запросы POST в конечную точку редактирования пользователя для создания новых учетных записей администратора с произвольными учетными данными.
CVE-2021-35492Wowza Streaming Engine до версии 4.8.11+5 может позволить аутентифицированному удаленному злоумышленнику исчерпать ресурсы файловой системы через параметр vhost /enginemanager/server/vhost/historical.jsdata. Это связано с недостаточным управлением доступными ресурсами файловой системы. Злоумышленник может использовать эту уязвимость через раздел мониторинга виртуального хоста, запрашивая случайные исторические данные виртуального хоста и исчерпывая доступные ресурсы файловой системы. Успешная эксплуатация может позволить злоумышленнику вызвать ошибки базы данных и привести к тому, что устройство перестанет отвечать на запросы веб-управления. (Требуется ручное вмешательство, чтобы освободить ресурсы файловой системы и вернуть приложение в рабочее состояние.)
CVE-2019-7654Wowza Streaming Engine 4.8.0 и более ранние версии страдают от множественных уязвимостей CSRF. Например, администратора, перейдя по ссылке, можно обманом заставить внести нежелательные изменения, такие как добавление другого пользователя-администратора через enginemanager/server/user/edit.htm в компоненте Server->Users. Эта проблема была решена в Wowza Streaming Engine 4.8.5.
CVE-2019-19456Отраженный XSS был обнаружен в поле выбора сервера на странице входа: enginemanager/loginfailed.html в Wowza Streaming Engine <= 4.x.x. Эта проблема была решена в Wowza Streaming Engine 4.8.0.
CVE-2018-7049Проблема обнаружена в Wowza Streaming Engine до версии 4.7.1. Существует XSS-уязвимость в HTTP-провайдерах (com.wowza.wms.http.HTTPProviderMediaList и com.wowza.wms.http.streammanager.HTTPStreamManager), вызывающая внедрение скриптов и/или отражение через специально созданный HTTP-запрос.
CVE-2021-31539Wowza Streaming Engine до 4.8.8.01 (в установке по умолчанию) имеет пароли в открытом виде, хранящиеся в файле conf/admin.password. Обычный локальный пользователь может читать имена пользователей и пароли.
CVE-2019-7655Wowza Streaming Engine 4.8.0 и более ранние версии страдают от множественных XSS-уязвимостей с аутентификацией через поле (1) customList%5B0%5D.value в enginemanager/server/serversetup/edit_adv.htm конфигурации Server Setup или (2) поле host в enginemanager/j_spring_security_check формы входа в систему. Эта проблема была решена в Wowza Streaming Engine 4.8.5.
CVE-2019-19453Wowza Streaming Engine до версии 4.8.5 допускает XSS (проблема 1 из 2). Аутентифицированный пользователь, имеющий доступ к редактированию прокси-лицензии, может вставить вредоносную полезную нагрузку, которая будет активирована на главной странице настроек сервера. Эта проблема была решена в Wowza Streaming Engine 4.8.5.
CVE-2017-16922В com.wowza.wms.timedtext.http.HTTPProviderCaptionFile в Wowza Streaming Engine до версии 4.7.1 возможен обход структуры каталогов и извлечение файла через удаленный, специально созданный HTTP-запрос.
CVE-2024-52054Обход пути в компоненте Manager Wowza Streaming Engine версии ниже 4.9.1 позволяет пользователю с правами администратора создавать файл XML-определения в любом месте файловой системы.