Serviio PRO 1.8 содержит уязвимость неправильного контроля доступа в API конфигурации REST, которая позволяет неаутентифицированным злоумышленникам изменить пароль для входа в медиабраузер. Злоумышленники могут отправлять специально созданные запросы к конечным точкам REST API для изменения учетных данных без аутентификации.
Показать оригинальное описание (EN)
Serviio PRO 1.8 contains an improper access control vulnerability in the Configuration REST API that allows unauthenticated attackers to change the mediabrowser login password. Attackers can send specially crafted requests to the REST API endpoints to modify credentials without authentication.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 8
http://www.securitylab.ru/poc/486047.php
disclosure@vulncheck.com
https://blogs.securiteam.com/index.php/archives/3094
disclosure@vulncheck.com
https://cxsecurity.com/issue/WLB-2017050025
disclosure@vulncheck.com
https://exchange.xforce.ibmcloud.com/vulnerabilities/125645
disclosure@vulncheck.com
https://packetstormsecurity.com/files/142386
disclosure@vulncheck.com
https://www.exploit-db.com/exploits/41960/
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/serviio-pro-unauthenticated-password-chang…
disclosure@vulncheck.com
https://www.zeroscience.mk/en/vulnerabilities/ZSL-2017-5407.php
disclosure@vulncheck.com