В системе видеонаблюдения ZoneMinder нашли критическую уязвимость

Сразу две уязвимости выявил в системе видеонаблюдения ZoneMinder исследователь компании Positive Technologies. Одна из них получила статус критической и оценку 9,1 балла по шкале CVSS, так как позволяет пользователю с правами администратора выполнить сторонний код на хосте с набором приложений ZoneMinder.

Такой вариант дает киберзлоумышленнику возможность проникновения в интересующую его внутреннюю сеть. Полученная таким образом видеоинформация позволяет найти сведения о планировке здания и графике работы сотрудников компании. Отмечается, что данная уязвимость несет особые риски при использовании для защиты частной собственности. В этом случае возможно попадание данных в даркнет.

Серьезность второй уязвимости оценивается существенно ниже — в 4,8 балла. Отсутствие предварительной обработки пользовательского ввода открывает потенциальным злоумышленникам доступ к конфиденциальным данным.

ZoneMinder имеет открытый исходный код и предназначается для домашнего видеонаблюдения, а также построения корпоративных охранных систем. Решения для данных уязвимостей уже предложены в версии 1.36.16. Сами проблемы были обнаружены в варианте 1.36.14.