ZoneMinder Apache配置資訊外洩（CVE-2016-10140） ZXCVFIXVIBESEND ZXCVFIXVIBESEG1 ZoneMinder 1.29 和 1.30 包含 Apache 錯誤配置，允許未經身份驗證的目錄瀏覽和潛在的身份驗證繞過。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG2 ZoneMinder 版本 1.29 和 1.30 受到捆綁的 Apache HTTP Server 設定錯誤的影響。此缺陷允許未經身份驗證的遠端攻擊者瀏覽 Web 根目錄，可能導致敏感資訊外洩和身份驗證繞過。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG3 ## 影響 ZXCVFIXVIBESEND ZXCVFIXVIBESEG4 未經驗證的遠端攻擊者可以瀏覽 ZoneMinder 安裝 CVE-2016-10140 的 Web 根目錄內的目錄。這種暴露會導致敏感系統資訊的洩露，並可能導致完全的身份驗證繞過，從而允許對應用程式的管理介面 ZXCVFIXVIBETOKEN1ZXCV 進行未經授權的存取。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG5 ## 根本原因 ZXCVFIXVIBESEND ZXCVFIXVIBESEG6 該漏洞是由與 ZoneMinder 版本 1.29 和 1.30 CVE-2016-10140 捆綁的有缺陷的 Apache HTTP Server 配置引起的。配置無法限制目錄索引，這會導致 Web 伺服器向未經驗證的使用者 ZXCVFIXVIBETOKEN1ZXCV 提供目錄清單。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG7 ## 修復 ZXCVFIXVIBESEND ZXCVFIXVIBESEG8 若要解決此問題，管理員應將 ZoneMinder 更新至包含修正的 Web 伺服器設定 CVE-2016-10140 的版本。如果无法立即升级，则应手动强化与 ZoneMinder 安装相关的 Apache 配置文件，以禁用目录索引并对 Web 根 ZXCVFIXVIBETOKEN1ZXCV 实施严格的访问控制。 ZXCVFIXVIBESEND ZXCVFIXVIBESEG9 ## 檢測研究 ZXCVFIXVIBESEND ZXCVFIXVIBESEG10 對此漏洞的研究表明，檢測涉及識別 ZoneMinder 實例並嘗試在未經身份驗證的情況下存取 Web 根目錄或已知子目錄 CVE-2016-10140。當不存在有效會話 ZXCVFIXVIBETOKEN1ZXCV 時，HTTP 回應正文中是否存在標準目錄清單模式（例如「Index of /」字串）通常表示存在易受攻擊的狀態。

ZoneMinder versions 1.29 and 1.30 are affected by a bundled Apache HTTP Server misconfiguration. This flaw allows remote, unauthenticated attackers to browse the web root directory, potentially leading to sensitive information disclosure and authentication bypass.