CVE-2023-26036 in ZoneMinder
Résumé
par VulDB • 24/06/2026
ZoneMinder est une application logicielle de vidéosurveillance (CCTV) libre et open source pour Linux qui prend en charge les caméras IP, USB et analogiques. Les versions antérieures à la 1.36.33 et à la 1.37.33 présentent une vulnérabilité d'inclusion de fichier local (Local File Inclusion - Chemin de recherche non fiable) via /web/index.php. En contrôlant $view, tout fichier local se terminant par .php peut être exécuté. Cela est censé être atténué par l'appel à detaintPath ; toutefois, detaintPath ne sandboxe pas correctement le chemin d'accès. Cette vulnérabilité peut être exploitée en construisant des chemins tels que "..././", qui sont remplacés par "../". Ce problème est corrigé dans les versions 1.36.33 et 1.37.33.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.