Mehrere Sicherheitsschwachstellen in Videoüberwachungssoftware C-MOR (SYSS-2024-020 bis -030)

Security Advisories von Senior Expert IT Security Consultant Matthias Deeg

Bei einer Sicherheitsanalyse der Videoüberwachungssoftware C-MOR Video Surveillance in der Version 5.2401 des Herstellers za-Internet GmbH fanden die IT-Sicherheitsexperten Chris Beiter, Frederik Beimgraben und Matthias Deeg insgesamt elf Sicherheitsschwachstellen unterschiedlichen Typs, wie beispielsweise Cross-Site Scripting-, SQL Injection- und OS Command Injection-Schwachstellen. Acht der identifizierten Sicherheitsschwachstellen wurden dabei als hohes und drei als mittleres Sicherheitsrisiko bewertet.

Unter Ausnutzung dieser Sicherheitsschwachstellen ist es einem Angreifer beispielsweise möglich, administrativen Zugriff über das Netzwerk auf ein verwundbares C-MOR-System zu erlangen.

Detaillierte Informationen zu diesen gefundenen Schwachstellen finden Sie in unseren Security Advisories / You will find detailed information about these security issues in our Security Advisories:

In der am 31. Juli 2024 veröffentlichten aktuellen Softwareversion C-MOR Video Surveillance 6.00PL01 sind nicht alle gemeldeten Sicherheitsschwachstellen behoben worden. Sechs der insgesamt elf Sicherheitsschwachstellen lassen sich daher weiterhin von Angreifern mit entsprechendem Systemzugriff ausnutzen, beispielsweise mit entsprechendem Netzwerkzugriff auf die WebGUI.

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer