Ndikimi
Një sulmues i largët dhe i paautentikuar mund të shfletojë drejtoritë brenda rrënjës së uebit të një instalimi ZoneMinder [S1]. Ky ekspozim lejon zbulimin e informacionit të ndjeshëm të sistemit dhe mund të çojë në një anashkalim të plotë të vërtetimit, duke dhënë akses të paautorizuar në ndërfaqen e menaxhimit të aplikacionit [S1].
Shkaku rrënjësor
Dobësia shkaktohet nga një konfigurim i gabuar i serverit Apache HTTP të bashkuar me versionet ZoneMinder 1.29 dhe 1.30 [S1]. Konfigurimi dështon të kufizojë indeksimin e drejtorive, gjë që rezulton në serverin e uebit duke u shërbyer listave të direktorive përdoruesve të paautentikuar [S1].
Përmirësimi
Për të adresuar këtë problem, administratorët duhet të përditësojnë ZoneMinder në një version që përfshin një konfigurim të korrigjuar të serverit të uebit [S1]. Nëse një përmirësim i menjëhershëm nuk është i mundur, skedarët e konfigurimit të Apache të lidhur me instalimin e ZoneMinder duhet të forcohen manualisht për të çaktivizuar indeksimin e drejtorive dhe për të zbatuar kontrolle të rrepta aksesi në rrënjën e uebit [S1].
Hulumtimi i Zbulimit
Hulumtimi mbi këtë dobësi tregon se zbulimi përfshin identifikimin e rasteve të ZoneMinder dhe përpjekjen për të hyrë në rrënjën e uebit ose në nëndrejtoritë e njohura pa vërtetim [S1]. Një gjendje e cenueshme zakonisht tregohet nga prania e modeleve standarde të listimit të drejtorive, si vargu "Indeksi i /", në trupin e përgjigjes HTTP kur nuk ka asnjë seancë të vlefshme [S1].