CVE-2023-26036 in ZoneMinder
Riassunto
di VulDB • 24/06/2026
ZoneMinder è un'applicazione software per la videosorveglianza (CCTV) gratuita e open source per Linux che supporta telecamere IP, USB e analogiche. Le versioni precedenti alla 1.36.33 e alla 1.37.33 presentano una vulnerabilità di Local File Inclusion (Untrusted Search Path) tramite /web/index.php. Controllando la variabile $view, è possibile eseguire qualsiasi file locale con estensione .php. Questo dovrebbe essere mitigato chiamando detaintPath; tuttavia, detaintPath non sandboxa correttamente il percorso. Ciò può essere sfruttato costruendo percorsi come "..././", che vengono sostituiti da "../". Il problema è stato risolto nelle versioni 1.36.33 e 1.37.33.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.