CVE-2023-26036 in ZoneMinderthông tin

Tóm tắt

Bởi VulDB • 24/06/2026

ZoneMinder là một ứng dụng phần mềm truyền hình mạch kín (CCTV) miễn phí, mã nguồn mở dành cho Linux, hỗ trợ các camera IP, USB và Analog. Các phiên bản trước 1.36.33 và 1.37.33 chứa lỗ hổng Bao gồm tệp cục bộ (Đường dẫn tìm kiếm không đáng tin cậy - Untrusted Search Path) thông qua /web/index.php. Bằng cách kiểm soát biến $view, bất kỳ tệp nào có đuôi .php nằm trên hệ thống cục bộ đều có thể được thực thi. Lỗ hổng này vốn dĩ phải được giảm thiểu bằng cách gọi hàm detaintPath; tuy nhiên, detaintPath không cô lập (sandbox) đường dẫn một cách đúng đắn. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách xây dựng các đường dẫn dạng "..././", những đường dẫn này sau đó sẽ bị thay thế bằng "../". Vấn đề này đã được vá trong các phiên bản 1.36.33 và 1.37.33.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub, Inc.

Đặt trước

17/02/2023

Tiết lộ

25/02/2023

Kiểm duyệt

được chấp nhận

EPSS

0.00897

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!