CVE-2024-45179

za-internet C-MOR Video Surveillance, versões 5.2401 a 6.00PL01

Foi detectada uma falha devido à validação insuficiente de entradas, tornando a interface web do C-MOR vulnerável a ataques de injeção de comandos no sistema operacional. A vulnerabilidade pode ser explorada por um usuário autenticado com privilégios baixos para executar comandos no contexto do usuário Linux www-data por meio de metacaracteres de shell nos dados HTTP POST, por exemplo, o parâmetro city. Além disso, um usuário administrativo pode explorar a vulnerabilidade de injeção de comando no sistema operacional nos scripts settimezone.pml ou setdatetime.pml, por exemplo, por meio do parâmetro year. Ao explorar também uma vulnerabilidade de escalonamento de privilégios, é possível executar comandos no sistema C-MOR com privilégios de root.

Para as versões 5.2401 a 6.00PL01, considere desativar o script generatesslreq.pml e restringir o acesso aos scripts settimezone.pml e setdatetime.pml até que um patch esteja disponível. Como solução temporária, evite usar os parâmetros city e year nas solicitações HTTP POST afetadas para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.