CVE-2021-35492

**Nome do software vulnerável e versões afetadas:

Wowza Streaming Engine versões 4.8.11+5 e anteriores

Descrição:

A vulnerabilidade permite que um invasor remoto autenticado esgote os recursos do sistema de arquivos por meio do parâmetro vhost do arquivo “/enginemanager/server/vhost/historical.jsdata”. Isso se deve à gestão insuficiente dos recursos disponíveis do sistema de arquivos. Um invasor poderia explorar essa vulnerabilidade solicitando dados históricos aleatórios de hosts virtuais por meio da seção Monitoramento de Hosts Virtuais, causando erros no banco de dados e tornando o dispositivo incapaz de responder ao gerenciamento baseado na web. É necessária uma intervenção manual para liberar recursos do sistema de arquivos e retornar o aplicativo a um estado operacional.

Recomendações:

Para as versões 4.8.11+5 e anteriores do Wowza Streaming Engine, como solução temporária, considere restringir o acesso ao endpoint “/enginemanager/server/vhost/historical.jsdata” para minimizar o risco de exploração. Além disso, limite o uso do parâmetro vhost na seção Monitoramento de Host Virtual até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.