CVE-2024-45173

za-internet C-MOR Video Surveillance versão 5.2401

Foi detectada uma falha devido a um gerenciamento inadequado dos privilégios relacionados ao sudo, tornando o C-MOR vulnerável a um ataque de escalonamento de privilégios. O usuário Linux www-data, que executa a interface web do C-MOR, pode executar alguns comandos do sistema operacional como root via sudo sem precisar digitar a senha de root. Esses comandos incluem cp, chown e chmod, que permitem que um invasor modifique o arquivo sudoers do sistema para executar todos os comandos com privilégios de root. Assim, é possível escalar os privilégios limitados do usuário www-data para privilégios de root.

Para a versão 5.2401, considere restringir os privilégios do sudo do usuário www-data para impedir a execução de comandos confidenciais como cp, chown e chmod até que um patch esteja disponível. Como solução temporária, considere desativar o acesso ao sudo para o usuário www-data a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.