CVE-2024-29192

gotortc versões 1.8.5 e anteriores

A vulnerabilidade diz respeito a um aplicativo de transmissão de câmera. Ele permite a modificação da configuração existente com valores fornecidos pelo usuário por meio do endpoint /api/config. Embora essa API permita apenas que o localhost interaja sem autenticação, ela não está protegida contra Cross-Site Request Forgery (CSRF), permitindo solicitações de qualquer origem. Isso pode levar à execução de comandos arbitrários se um invasor adicionar um stream personalizado por meio de api/config, utilizando o manipulador exec. Quando uma vítima acessa o servidor, seu navegador executará as solicitações contra a instância do go2rtc.

Para as versões 1.8.5 e anteriores, considere desativar o manipulador exec e restringir o acesso ao endpoint /api/config para impedir a execução arbitrária de comandos até que uma correção esteja disponível. Além disso, certifique-se de que o go2rtc esteja configurado de forma segura no aplicativo upstream para minimizar o risco de exploração.