Vulnerabilidad en ZoneMinder (CVE-2022-39291)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
07/10/2022
Última modificación:
27/03/2023
Descripción
ZoneMinder es una aplicación de software de circuito cerrado de televisión gratuita y de código abierto. Las versiones afectadas de zoneminder están sujetas a una vulnerabilidad que permite a usuarios con permisos de sistema "Visualizar", inyectar nuevos datos en los registros almacenados por Zoneminder. Esto ha sido observado mediante una petición HTTP POST que contiene información de registro al endpoint "/zm/index.php". El envío no está controlado y podría afectar al rendimiento de la base de datos y/o consumir todos los recursos de almacenamiento. Es recomendado a usuarios actualizar. No se presentan mitigaciones conocidas para este problema
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:zoneminder:zoneminder:*:*:*:*:*:*:*:* | 1.36.27 (excluyendo) | |
| cpe:2.3:a:zoneminder:zoneminder:*:*:*:*:*:*:*:* | 1.37.0 (excluyendo) | 1.37.24 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/171498/Zoneminder-Log-Injection-XSS-Cross-Site-Request-Forgery.html
- https://github.com/ZoneMinder/zoneminder/commit/34ffd92bf123070cab6c83ad4cfe6297dd0ed0b4
- https://github.com/ZoneMinder/zoneminder/commit/73d9f2482cdcb238506388798d3cf92546f9e40c
- https://github.com/ZoneMinder/zoneminder/commit/cb3fc5907da21a5111ae54128a5d0b49ae755e9b
- https://github.com/ZoneMinder/zoneminder/commit/de2866f9574a2bf2690276fad53c91d607825408
- https://github.com/ZoneMinder/zoneminder/security/advisories/GHSA-cfcx-v52x-jh74