CVE-2023-26036 in ZoneMinder
요약
\~에 의해 VulDB • 2026. 06. 24.
ZoneMinder은 Linux용 무료 오픈 소스 폐쇄 회로 텔레비전(CCTV) 소프트웨어 애플리케이션으로, IP, USB 및 아날로그 카메라를 지원합니다. 버전 1.36.33 미만과 1.37.33 미만에는 /web/index.php 경로를 통해 로컬 파일 포함(Untrusted Search Path) 취약점이 존재합니다. $view 변수를 제어함으로써 .php로 끝나는 모든 로컬 파일을 실행할 수 있습니다. 이는 detaintPath 함수 호출을 통해 완화되어야 하지만, 해당 함수가 경로에 대해 적절한 샌드박싱 처리를 수행하지 않습니다. "..././"와 같은 경로를 구성하여 "../"로 대체되도록 함으로써 이 취약점을 악용할 수 있습니다. 본 문제는 버전 1.36.33 및 1.37.33에서 패치되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.