Vulnerabilidad en za-internet C-MOR Video Surveillance (CVE-2024-45179)

Se descubrió un problema en za-internet C-MOR Video Surveillance 5.2401 y 6.00PL01. Debido a una validación de entrada insuficiente, la interfaz web de C-MOR es vulnerable a ataques de inyección de comandos del SO. Se descubrió que diferentes funciones son vulnerables a ataques de inyección de comandos del SO, por ejemplo, para generar nuevos certificados X.509 o configurar la zona horaria. Estas vulnerabilidades de inyección de comandos del SO en el script generatesslreq.pml se pueden explotar como un usuario autenticado con privilegios bajos para ejecutar comandos en el contexto del usuario Linux www-data a través de metacaracteres de shell en datos HTTP POST (por ejemplo, el parámetro city). La vulnerabilidad de inyección de comandos del SO en el script settimezone.pml o setdatetime.pml (por ejemplo, a través del parámetro year) requiere un usuario administrativo para la interfaz web de C-MOR. Al explotar también una vulnerabilidad de escalada de privilegios, es posible ejecutar comandos en el sistema C-MOR con privilegios de root.