Podatność w Wowza Streaming Engine poniżej wersji 4.9.1 umożliwia uwierzytelnionemu administratorowi Streaming Engine Manager wykonanie zdalnego kodu z wysokimi uprawnieniami. Zagrożenie jest krytyczne ze względu na możliwość przejęcia pełnej kontroli nad systemem oraz środowiskiem powiązanym.
▸ Pokaż oryginał (EN)
Wowza Streaming Engine below 4.9.1 permits an authenticated Streaming Engine Manager administrator to define a custom application property and poison a stream target for high-privilege remote code execution.
Atakujący posiadający konto administratora Streaming Engine Manager może zdefiniować niestandardową właściwość aplikacji (custom application property), a następnie przeprowadzić atak typu 'stream target poisoning'. Manipulacja tą właściwością pozwala na wstrzyknięcie złośliwego payload'u wykonywanego z wysokimi uprawnieniami w kontekście serwera. Mechanizm ten jest sklasyfikowany jako CWE-646 (Reliance on File Name or Extension of Externally-Supplied File), co wskazuje na niewystarczającą walidację danych wejściowych dostarczanych przez użytkownika uprzywilejowanego.
Atakujący może uzyskać zdalnego wykonania kodu (RCE) z wysokimi uprawnieniami na serwerze Wowza Streaming Engine, co może prowadzić do pełnego przejęcia systemu, utraty poufności i integralności danych oraz naruszenia dostępności usług streamingowych.
Należy zaktualizować Wowza Streaming Engine do wersji 4.9.1 lub nowszej, zgodnie z oficjalnymi informacjami producenta dostępnymi w notatkach do wydania (release notes) wersji 4.9.1. Dodatkowo zaleca się ograniczenie dostępu do panelu Streaming Engine Manager wyłącznie do zaufanych, niezbędnych kont administratorskich oraz monitorowanie konfiguracji niestandardowych właściwości aplikacji.
Wowza Streaming Engine w wersjach poniżej 4.9.1, działający na systemach Linux oraz Microsoft Windows.
Podatność została opisana przez Rapid7 i opublikowana 20 listopada 2024 r. Wymaga uwierzytelnienia na poziomie administratora, co ogranicza powierzchnię ataku, jednak w przypadku przejęcia konta administratora skutki są krytyczne.
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XLinux Kernel
OSLinuxwszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersjeWowza Streaming Engine
APPWowza4.3.0 – 4.9.1 (bez)
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit