从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 产品:C-MOR Video Surveillance - 制造商:za-internet GmbH - 受影响版本:5.2401 - 测试版本:5.2401 - 漏洞类型:Improper Access Control (CWE-284) - 风险级别:高 - 解决方案状态:已修复 - 制造商通知日期:2024-04-05 - 公开披露日期:2024-09-04 - CVE参考:CVE-2024-45170 - 作者:Chris Beiter, Frederik Beimgraben, and Matthias Deeg 2. 漏洞详情: - 由于访问控制不当或缺失,低权限用户可以使用C-MOR web接口的管理功能,例如下载备份文件或更改配置设置。 3. PoC示例: - 通过发送相应的HTTP请求到C-MOR web接口,低权限用户可以下载备份文件。 4. 解决方案: - 安装C-MOR Video Surveillance版本6.00PL1。 5. 披露时间线: - 2024-04-05:漏洞报告给制造商 - 2024-04-05:制造商确认收到安全公告 - 2024-04-08:进一步讨论安全更新和披露时间线 - 2024-05-08:所有安全公告的公开发布,包括C-MOR Video Surveillance版本6的安全更新 - 2024-05-10:发布C-MOR软件版本5.30,包含针对一些报告的安全问题的安全更新 - 2024-07-19:电子邮件通知制造商关于C-MOR Video Surveillance版本6的发布日期 - 2024-07-30:电子邮件通知制造商关于C-MOR Video Surveillance版本6的安全更新 - 2024-09-04:公开发布安全公告 6. 参考: - C-MOR Video Surveillance产品网站:https://www.c-mor.com/ - SySS安全公告:https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2024-024.txt - SySS负责任的披露政策:https://www.syss.de/en/responsible-disclosure-policy/ 7. 免责声明: - 信息提供“原样”且无任何形式的保证。安全公告的详细信息可能会根据需要更新以提供更准确的信息。最新版本的安全公告可在SySS网站上获取。 8. 版权: - 创意 Commons 许可证(by) - 版本 3.0 - URL:http://creativecommons.org/licenses/by/3.0/deed.en 这些信息提供了关于C-MOR Video Surveillance的漏洞、解决方案、披露时间线和相关文档的详细描述。