Обнаружена проблема в za-internet C-MOR Video Surveillance 5.2401 и 6.00PL01. Из-за недостаточной проверки ввода веб-интерфейс C-MOR уязвим…
Обнаружена проблема в za-internet C-MOR Video Surveillance 5.2401 и 6.00PL01. Из-за недостаточной проверки ввода веб-интерфейс C-MOR уязвим для атак внедрения команд ОС. Выяснилось, что различные функциональные возможности уязвимы для атак внедрения команд ОС, например, для создания новых сертификатов X.509 или установки часового пояса. Эти уязвимости внедрения команд ОС в скрипте generatesslreq.pml могут быть использованы аутентифицированным пользователем с низкими привилегиями для выполнения команд в контексте пользователя Linux www-data через метасимволы оболочки в данных HTTP POST (например, параметр city). Уязвимость внедрения команд ОС в скрипте settimezone.pml или setdatetime.pml (например, через параметр year) требует административного пользователя для веб-интерфейса C-MOR. Также, используя уязвимость повышения привилегий, можно выполнять команды в системе C-MOR с привилегиями root.
Продукт получает входное значение, используемое в качестве идентификатора ресурса или иного типа ссылки, однако не проверяет или некорректно проверяет эквивалентность входных данных потенциально небезопасному значению.
https://cwe.mitre.org/data/definitions/1289.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| c-mor_video_surveillance | * | Отслеживается |