PT-2026-51647 · Motioneye · Motioneye
Publicado
2026-06-23
·
Atualizado
2026-06-23
·
CVE-2026-55863
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
motionEye versão 0.43.1
Description
A função
ActionHandler.post() no arquivo motioneye/handlers/action.py não possui um decorador de autenticação. Isso permite que um invasor não autenticado acione ações da câmera através do endpoint /action/{camera id}/{action}. As ações afetadas incluem a captura de snapshots, início ou interrupção de gravações e a execução de scripts de ação configurados, como controles de PTZ (Pan-Tilt-Zoom), gatilhos de alarme e alterações de iluminação. Isso pode levar a uma falha na segurança física ou a Server-Side Request Forgery (SSRF) ao acionar ações em servidores remotos.Recommendations
Para a versão 0.43.1, aplique o decorador
@BaseHandler.auth() à função post() dentro da classe ActionHandler para exigir autenticação. Como medida paliativa temporária, restrinja o acesso de rede ao servidor motionEye a endereços IP confiáveis para minimizar o risco de acesso não autorizado ao endpoint /action/.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Motioneye