PT-2026-51647 · Motioneye · Motioneye

Publicado

2026-06-23

·

Atualizado

2026-06-23

·

CVE-2026-55863

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas motionEye versão 0.43.1
Description A função ActionHandler.post() no arquivo motioneye/handlers/action.py não possui um decorador de autenticação. Isso permite que um invasor não autenticado acione ações da câmera através do endpoint /action/{camera id}/{action}. As ações afetadas incluem a captura de snapshots, início ou interrupção de gravações e a execução de scripts de ação configurados, como controles de PTZ (Pan-Tilt-Zoom), gatilhos de alarme e alterações de iluminação. Isso pode levar a uma falha na segurança física ou a Server-Side Request Forgery (SSRF) ao acionar ações em servidores remotos.
Recommendations Para a versão 0.43.1, aplique o decorador @BaseHandler.auth() à função post() dentro da classe ActionHandler para exigir autenticação. Como medida paliativa temporária, restrinja o acesso de rede ao servidor motionEye a endereços IP confiáveis para minimizar o risco de acesso não autorizado ao endpoint /action/.

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55863
GHSA-J67X-Q29F-QCVV

Produtos afetados

Motioneye