Katalog CVE

CVE-2026-32315

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Wysokie ryzyko
2.90%

Percentyl 85 — wyżej niż 85% wszystkich znanych CVE

Streszczenie

motionEye (mEye) to interfejs online dla oprogramowania do monitoringu wideo, które wykrywa ruch. Wersje przed 0.44.0 tworzą plik konfiguracyjny /etc/motioneye/motion.conf z uprawnieniami 644, co pozwala na jego odczyt przez każdego lokalnego użytkownika, ujawniając wrażliwe dane, w tym hasz hasła administratora.

Ocena ryzyka

Ujawnienie hasła administratora oraz danych konfiguracyjnych kamer stwarza ryzyko eskalacji uprawnień przez lokalnych użytkowników, co może prowadzić do pełnego kompromitacji systemu.

Rekomendacja

Zaleca się aktualizację do wersji 0.44.0 lub nowszej, aby zabezpieczyć pliki konfiguracyjne przed nieautoryzowanym dostępem.

Oryginalny opis (angielski, źródło NVD)

motionEye (mEye) is an online interface for motion software, a video surveillance program with motion detection. Versions prior to 0.44.0 create the configuration file /etc/motioneye/motion.conf with 644 permissions (-rw-r--r--), making it readable by any local user on the system. This file contains sensitive data including the admin password hash, which can be leveraged by other vulnerabilities to escalate privileges. Additionally, per-camera configuration files (camera-*.conf) are also created with the same 644 permissions, potentially exposing camera-specific credentials and settings. The exposed SHA1 admin password hash can be cracked offline to recover the plaintext password, used directly to forge authenticated admin API requests via the signature authentication weakness (GHSA-45h7-499j-7ww3), and chained with the OS command injection flaw (CVE-2025-60787) to escalate a local unprivileged user to the Motion daemon user (often root), enabling full system compromise. This issue has been fixed in version 0.44.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS