Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w oprogramowaniu Ant Media Server
13 maja 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-3462
Data publikacji 13 maja 2024
Producent podatnego oprogramowania Ant Media
Nazwa podatnego oprogramowania Ant Media Server Community Edition
Podatne wersje do 2.9.0 włącznie
Typ podatności (CWE) Incorrect Authorization (CWE-863)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Ant Media Server Community Edition i koordynował proces ujawniania informacji.

Poprzez manipulowanie nagłówkami w rządaniach HTTP nieautoryzowany użytkownik może wykorzystać podatność CVE-2024-3462 i uzyskać dostęp do wszystkich (z wyłączeniem administracyjnych) funkcjonalności API programu Ant Media Server Community Edition.

Przetestowane zostały wersje 2.7.0 - 2.9.0. Ponieważ firma Ant Media nie potwierdziła wydania aktualizacji bezpieczenśtwa, istnieje ryzyko, że nowsze wersje również będą podatne.

Podziękowania

Za zgłoszenie podatności dziękujemy Maksymowi Brzęczkowi (efigo.pl).

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.