Wowza Streaming Engine версии ниже 4.9.1 позволяет аутентифицированному администратору Streaming Engine Manager определять пользовательское…
Wowza Streaming Engine версии ниже 4.9.1 позволяет аутентифицированному администратору Streaming Engine Manager определять пользовательское свойство приложения и отравлять цель потока для удаленного выполнения кода с высокими привилегиями.
Программный продукт допускает загрузку файла, однако определяет соответствующее поведение на основании имени или расширения этого файла. Злоумышленники могут использовать это для неверной классификации файла и его обработки опасным образом.
https://cwe.mitre.org/data/definitions/646.html →Открыть в коллекции CWE →Злоумышленник создаёт файл со сценарным содержимым, при этом указанный MIME-тип файла таков, что обработка сценариев не предполагается. Злоумышленник обманом вынуждает жертву перейти по URL-адресу, возвращающему файл сценария. Некоторые браузеры обнаруживают, что указанный MIME-тип файла не соответствует фактическому типу его содержимого, и автоматически переключаются на использование интерпретатора для реального типа содержимого. Если браузер не вызывает фильтры сценариев до этого переключения, сценарий злоумышленника может выполниться в незашифрованном виде в браузере жертвы, раскрывая cookie жертвы или выполняя произвольный сценарий в её браузере.
https://capec.mitre.org/data/definitions/209.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| streaming_engine | * | Отслеживается |