PT-2022-6497 · Unknown+4 · Zoneminder+4

Krastanoel

·

Publicado

2022-02-08

·

Atualizado

2023-11-30

·

CVE-2022-29806

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do ZoneMinder anteriores à 1.36.13
Descrição
O problema está relacionado a uma restrição incorreta de um caminho de diretório com acesso limitado no ZoneMinder, um software de vigilância por vídeo. Isso pode ser explorado por um invasor remoto para executar código arbitrário, enviando um arquivo especialmente criado para o servidor. A vulnerabilidade pode ser explorada por meio de um idioma inválido, o que contribui para sua explorabilidade.
Recomendações
Para versões anteriores à 1.36.13, atualize para a versão 1.36.13 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às configurações de idioma para minimizar o risco de exploração.

Exploit

Correção

RCE

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

ALT-PU-2022-2575
ALT-PU-2022-2771
ALT-PU-2023-7284
BDU:2023-01774
CVE-2022-29806
USN-5889-1

Produtos afetados

Alt Linux
Debian
Linuxmint
Ubuntu
Zoneminder