python · motioneyeCrítico
motionEye: múltiplas vulnerabilidades críticas permitem execução remota de código
Uma cadeia de vulnerabilidades no motionEye leva a execução remota de código via LFI, autenticação admin por pass-the-hash, restauração insegura de configuração
O que mudou
Uma cadeia de vulnerabilidades no motionEye leva a execução remota de código via LFI, autenticação admin por pass-the-hash, restauração insegura de configuração e execução de ações não autenticadas.
Quem isso afeta
Todas as instalações do motionEye com pelo menos uma câmera local; RCE não autenticada se a senha normal não estiver definida, caso contrário RCE autenticada com credenciais de usuário normal.
O que fazer hoje
Aplique as correções sugeridas: bloqueie caminhos absolutos em get_media_content(), remova aceitação de assinatura baseada em hash, endureça a restauração e exija autenticação no ActionHandler.
A esteira
Coletado→
Auditado→
Redigido→
Publicado