Kritische SQL-Injection Schwachstelle in OpenSource CCTV Software ZoneMinder
Eine schwerwiegende Sicherheitslücke in der Überwachungssoftware ZoneMinder Version 1.37. bis einschließlich 1.37.64* ermöglicht eine boolean-basierte SQL-Injection. Diese Schwachstelle, die unter der CVE-ID CVE-2024-51482 erfasst wurde, erlaubt Angreifern die Ausführung schädlicher SQL-Befehle über eine manipulierte Anfrage an die Funktion removetag in der Datei web/ajax/event.php. Hierbei wird der Parameter tid direkt in eine SQL-Abfrage eingefügt, ohne ordnungsgemäße Validierung oder Bereinigung.
Die Lücke wurde als kritisch eingestuft, mit einem CVSS-Score von 10.0, was bedeutet, dass Angreifer über das Netzwerk ohne großen Aufwand vollständige Kontrolle über die SQL-Datenbank erlangen können. Dies betrifft die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, da Angreifer Daten auslesen, manipulieren oder sogar den Zugriff durch SQL-Befehle wie SLEEP blockieren können.
Ein Proof-of-Concept zeigt, dass die Schwachstelle durch den Einsatz von Werkzeugen wie sqlmap einfach ausgenutzt werden kann. Der Angriff kann mit einer einfachen GET-Anfrage an die URL http://hostname_or_ip/zm/index.php?view=request&request=event&action=removetag&tid=1 durchgeführt werden.
Nutzer von ZoneMinder sollten dringend auf Version 1.37.65 oder höher aktualisieren, in der diese Sicherheitslücke durch eine Umstellung auf parameterisierte SQL-Abfragen geschlossen wurde.