Vulnerabilidad en el archivo enginemanager/server/user/edit.htm en el componente Server->Users en Wowza Streaming Engine (CVE-2019-7654)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
29/01/2020
Última modificación:
14/10/2022
Descripción
Wowza Streaming Engine versiones 4.8.0 y anteriores, sufre de múltiples vulnerabilidades de tipo CSRF. Por ejemplo, un administrador, al seguir un enlace, puede ser engañado para hacer cambios no deseados, como agregar otro usuario administrador por medio del archivo enginemanager/server/user/edit.htm en el componente Server->Users. Este problema se resolvió en Wowza Streaming Engine 4.8.5
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:wowza:streaming_engine:*:*:*:*:*:*:*:* | 4.8.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/DrunkenShells/Disclosures/tree/master/CVE-2019-7654-CSRF-Wowza
- https://raw.githubusercontent.com/WowzaMediaSystems/public_cve/main/wowza-streaming-engine/CVE-2019-7654.txt
- https://www.wowza.com/docs/wowza-streaming-engine-4-8-5-release-notes
- https://www.wowza.com/pricing/installer