CVE-2024-45171

za-internet C-MOR Video Surveillance versão 5.2401

Foi detectada uma falha devido à validação inadequada das entradas do usuário, permitindo o upload de arquivos perigosos, como código PHP, para o sistema. A funcionalidade de upload de arquivos de backup permite que um usuário autenticado envie arquivos arbitrários se o nome do arquivo contiver a sequência .cbkf. Os arquivos enviados são armazenados no diretório “/srv/www/backups” e podem ser acessados através da URL https:///backup/upload . Usuários autenticados com privilégios limitados também podem explorar essa funcionalidade de envio de arquivos devido a falhas no controle de acesso.

Para a versão 5.2401, considere desativar a funcionalidade de upload de arquivos de backup até que um patch esteja disponível. Restrinja o acesso ao diretório “/srv/www/backups” para minimizar o risco de exploração. Evite usar nomes de arquivo com a string .cbkf no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.