Vulnerabilidad en za-internet C-MOR Video Surveillance (CVE-2024-45170)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
04/09/2024
Última modificación:
04/09/2025
Descripción
Se ha descubierto un problema en za-internet C-MOR Video Surveillance 5.2401. Debido a un control de acceso incorrecto o inexistente, los usuarios con privilegios reducidos pueden utilizar las funciones administrativas de la interfaz web de C-MOR. Se ha descubierto que ciertas funciones solo están disponibles para los usuarios administrativos. Sin embargo, el acceso a esas funciones está restringido a través de la interfaz de usuario de la aplicación web y no se verifica en el lado del servidor. Por lo tanto, al enviar las solicitudes HTTP correspondientes al servidor web de la interfaz web de C-MOR, los usuarios con privilegios reducidos también pueden utilizar la funcionalidad administrativa, por ejemplo, descargar archivos de copia de seguridad o cambiar los ajustes de configuración.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:c-mor:c-mor_video_surveillance:5.2401:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://www-syss-de.translate.goog/pentest-blog/mehrere-sicherheitsschwachstellen-in-videoueberwachungssoftware-c-mor-syss-2024-020-bis-030?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp
- https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2024-024.txt
- http://seclists.org/fulldisclosure/2024/Sep/12