从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 产品:C-MOR Video Surveillance - 制造商:za-internet GmbH - 受影响版本:5.2401, 6.00PL01 - 测试版本:5.2401, 6.00PL01 - 漏洞类型:Cross-Site Request Forgery (CSRF) (CWE-352) - 风险级别:Medium 2. 漏洞细节: - C-MOR web界面没有提供任何针对CSRF攻击的保护。 - CSRF攻击可以针对状态更改请求,例如启用或禁用功能,而不是窃取数据,因为攻击者通常无法看到伪造请求的响应。 - CSRF攻击可以通过受害者的用户访问攻击者控制的URL来执行,例如通过电子邮件发送的链接。 3. 解决方案: - 没有修复此安全问题。 4. 披露时间线: - 2024年4月5日:漏洞报告给制造商。 - 2024年4月5日:制造商确认收到安全公告。 - 2024年4月8日:关于安全更新和披露时间线的交流。 - 2024年5月8日:关于安全更新和披露时间线的进一步交流;所有安全公告计划于2024年6月发布。 - 2024年5月10日:发布C-MOR软件版本5.30,包含针对一些报告的安全问题的更新。 - 2024年7月19日:电子邮件通知制造商关于C-MOR Video Surveillance版本6的发布日期;响应计划于2024年8月1日发布。 - 2024年7月30日:电子邮件通知制造商关于C-MOR Video Surveillance版本6的更多信息。 - 2024年7月31日:发布C-MOR软件版本6.00PL1。 - 2024年9月4日:发布安全公告。 5. 参考: - C-MOR Video Surveillance产品网站:https://www.c-mor.com/ - SySS安全公告SYSS-2024-022:https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2024-022.txt - SySS负责任披露政策:https://www.syss.de/en/responsible-disclosure-policy/ 6. 免责声明: - 信息提供“as is”且无任何保证。 - 安全公告的细节可能会更新以提供尽可能准确的信息。 - 最新版本的安全公告可在SySS网站上获取。 7. 版权: - 创意 Commons - Attribution (by) - Version 3.0 - URL:http://creativecommons.org/licenses/by/3.0/deed.en 这些信息提供了关于C-MOR Video Surveillance系统中CSRF漏洞的详细描述、解决方案和披露时间线。