CRITICAL✓ PATCH🇬🇧 English

CVE-2024-52052

RCE w Wowza Streaming Engine — zatrucie stream target przez administratora

CVSS 9.4v4.0pub. 2024-11-21upd. 2025-02-26

Podatność w Wowza Streaming Engine poniżej wersji 4.9.1 umożliwia uwierzytelnionemu administratorowi Streaming Engine Manager wykonanie zdalnego kodu z wysokimi uprawnieniami. Zagrożenie jest krytyczne ze względu na możliwość przejęcia pełnej kontroli nad systemem oraz środowiskiem powiązanym.

Pokaż oryginał (EN)

Wowza Streaming Engine below 4.9.1 permits an authenticated Streaming Engine Manager administrator to define a custom application property and poison a stream target for high-privilege remote code execution.

🤖 Analiza AI
Jak działa

Atakujący posiadający konto administratora Streaming Engine Manager może zdefiniować niestandardową właściwość aplikacji (custom application property), a następnie przeprowadzić atak typu 'stream target poisoning'. Manipulacja tą właściwością pozwala na wstrzyknięcie złośliwego payload'u wykonywanego z wysokimi uprawnieniami w kontekście serwera. Mechanizm ten jest sklasyfikowany jako CWE-646 (Reliance on File Name or Extension of Externally-Supplied File), co wskazuje na niewystarczającą walidację danych wejściowych dostarczanych przez użytkownika uprzywilejowanego.

Skutki

Atakujący może uzyskać zdalnego wykonania kodu (RCE) z wysokimi uprawnieniami na serwerze Wowza Streaming Engine, co może prowadzić do pełnego przejęcia systemu, utraty poufności i integralności danych oraz naruszenia dostępności usług streamingowych.

Mitygacja

Należy zaktualizować Wowza Streaming Engine do wersji 4.9.1 lub nowszej, zgodnie z oficjalnymi informacjami producenta dostępnymi w notatkach do wydania (release notes) wersji 4.9.1. Dodatkowo zaleca się ograniczenie dostępu do panelu Streaming Engine Manager wyłącznie do zaufanych, niezbędnych kont administratorskich oraz monitorowanie konfiguracji niestandardowych właściwości aplikacji.

Kogo dotyczy

Wowza Streaming Engine w wersjach poniżej 4.9.1, działający na systemach Linux oraz Microsoft Windows.

Uwagi

Podatność została opisana przez Rapid7 i opublikowana 20 listopada 2024 r. Wymaga uwierzytelnienia na poziomie administratora, co ogranicza powierzchnię ataku, jednak w przypadku przejęcia konta administratora skutki są krytyczne.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
  • Wowza Streaming Engine

    APP
    Wowza
    4.3.0 – 4.9.1 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit