Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w oprogramowaniu Ant Media Server
13 maja 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-3462
Data publikacji 13 maja 2024
Producent podatnego oprogramowania Ant Media
Nazwa podatnego oprogramowania Ant Media Server Community Edition
Podatne wersje do 2.9.0 włącznie
Typ podatności (CWE) Authentication Bypass by Assumed-Immutable Data (CWE-302)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Ant Media Server Community Edition i koordynował proces ujawniania informacji.

Poprzez manipulowanie nagłówkami w rządaniach HTTP nieautoryzowany użytkownik może wykorzystać podatność CVE-2024-3462 i uzyskać dostęp do wszystkich (z wyłączeniem administracyjnych) funkcjonalności API programu Ant Media Server Community Edition.

Przetestowane zostały wersje 2.7.0 - 2.9.0. Ponieważ firma Ant Media nie potwierdziła wydania aktualizacji bezpieczenśtwa, istnieje ryzyko, że nowsze wersje również będą podatne.

Podziękowania

Za zgłoszenie podatności dziękujemy Maksymowi Brzęczkowi (efigo.pl).

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.