Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en ZoneMinder (CVE-2017-5368)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
06/02/2017
Última modificación:
20/04/2025

Descripción

ZoneMinder v1.30 y v1.29, una aplicación web de servidor de CCTV de código abierto, es vulnerable a CSRF (Cross Site Request Forgery), lo que permite a un ataque remoto realizar cambios en la aplicación web como la víctima registrada actual. Si la víctima visita una página web maliciosa, el atacante puede crear de forma silenciosa y automática un nuevo usuario admin dentro de la aplicación web para la persistencia remota y otros ataques. La URL es /zm/index.php y los parámetros de ejemplo podrían incluir action=user uid=0 newUser[Username]=attacker1 newUser[Password]=Password1234 conf_password=Password1234 newUser[System]=Edit (entre otros).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:zoneminder:zoneminder:1.29.0:*:*:*:*:*:*:*
cpe:2.3:a:zoneminder:zoneminder:1.30.0:*:*:*:*:*:*:*