PT-2024-31454 · Za Internet · Za-Internet C-Mor Video Surveillance
Chris Beiter
+2
·
Publicado
2024-09-04
·
Atualizado
2024-09-05
·
CVE-2024-45170
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
za-internet C-MOR Video Surveillance versão 5.2401
Descrição
Foi descoberta uma falha devido a controle de acesso inadequado ou ausente, permitindo que usuários com privilégios limitados utilizem funções administrativas da interface web do C-MOR. Embora diferentes funções estejam disponíveis apenas para usuários administrativos por meio da interface de usuário do aplicativo web, o acesso a essas funções não é verificado no lado do servidor. Isso permite que usuários com privilégios limitados enviem solicitações HTTP correspondentes ao servidor web e utilizem funcionalidades administrativas, como baixar arquivos de backup ou alterar configurações.
Recomendações
Para a versão 5.2401, considere restringir o acesso às funções administrativas até que uma correção adequada seja aplicada, implementando verificações no lado do servidor para garantir que apenas usuários autorizados possam acessar esses recursos. Como solução alternativa temporária, impeça que usuários com privilégios limitados enviem solicitações HTTP ao servidor web que possam explorar essa vulnerabilidade.
Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Za-Internet C-Mor Video Surveillance