Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Exclusive: TIM’s Red Team Research finds 4 zero-days in WOWZA Streaming Engine product

Massimiliano Brolli : 5 Agosto 2020 12:39

Researchers from #TIM’s Red Team Research (RTR) have discovered another 4 new zero-day vulnerabilities in the #WOWZA #Streaming Engine product.Last month, the TIM’s Red Team Research (RTR) disclosed 2 new vulnerabilities affecting the Oracle Business Intelligence product with High severity. Today, the TIM’s Red Team Research led by Massimiliano Brolli, discovered 4 new vulnerabilities that have been addressed by the manufacturer WOWZA Streaming Engine, between the end of 2019 and July 2020.Wowza Streaming Engine (known as Wowza Media #Server) is a unified streaming media server software developed by Wowza Media Systems based in Colorado, in the United States of America and used by many US government entities such as #NASA, US Air force, Boeing, New York Police Department and many other clients around the world.The #vulnerabilities discovered by the team, tracked as #CVE-2019-19454, #CVE-2019-19455, #CVE-2019-19453 and #CVE-2019-19456, are an “Arbitrary File Download”, “#Path traversal” and 2 “#Cross-site #Scripting” (the first two with High Severity and the others with Medium one) respectively. The issues were discovered during laboratory tests, promptly managed in a CVD (Coordinated Vulnerability Disclosure) process with the vendor.Some of these vulnerabilities can be chained together by a remote #attacker to execute arbitrary code on the impacted system, they can also provide full access to all the data it contains, through the user interface.The laboratory has been active for less than a year (based on the registered CVE) and unknown vulnerabilities have already been identified on various products including #NOKIA, #Selesta, and #Oracle. The research team has identified a total of 16 new published #CVEs, as reported on the #NVD (National Vulnerability Database) and on TIM’s Corporate website, available at https://www.gruppotim.it/redteam.TIM is one of the very few Italian industrial realities to conduct research of undocumented vulnerabilities, for this reason I suggest you to follow them carefully.

#redhotcyber #cybersecurity

https://securityaffairs.co/wordpress/106804/hacking/wowza-streaming-engine-zerodays.html

Massimiliano Brolli
Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Sei Davvero Umano? Shock su Reddit: migliaia di utenti hanno discusso con dei bot senza saperlo

Per anni, Reddit è rimasto uno dei pochi angoli di Internet in cui era possibile discutere in tutta sicurezza di qualsiasi argomento, dai videogiochi alle criptovalute, dalla politica alle teorie...

GPU sotto sorveglianza! l’America vuole sapere dove finiscono le sue GPU e soprattutto se sono in Cina

Le autorità statunitensi continuano a cercare soluzioni per fermare la fuga di chip avanzati verso la Cina, nonostante le rigide restrizioni all’esportazione in vigore. Il senatore Tom Cot...

Qilin domina le classifiche del Ransomware! 72 vittime solo nel mese di aprile 2025!

Il gruppo Qilin, da noi intervistato qualche tempo fa, è in cima alla lista degli operatori di ransomware più attivi nell’aprile 2025, pubblicando i dettagli di 72 vittime sul suo sit...

Play Ransomware sfrutta 0-Day in Windows: attacco silenzioso prima della patch di aprile 2025

Gli autori della minaccia collegati all’operazione ransomware Play hanno sfruttato una vulnerabilità zero-day in Microsoft Windows prima della sua correzione, avvenuta l’8 aprile 20...

Allarme AgID: truffe SPID con siti altamente attendibili mettono in pericolo i cittadini

È stata individuata una campagna di phishing mirata agli utenti SPID dal gruppo del CERT-AgID, che sfrutta indebitamente il nome e il logo della stessa AgID, insieme al dominio recentemente regis...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006