TIM RTR (Red Team Research), il laboratorio di Telecom Italia che ricerca vulnerabilità non documentate, ha pubblicato di recente sul suo sito web 2 nuove CVE sul prodotto WOWZA Streaming Engine, come riportato sul National Vulnerability Database degli Stati Uniti D’America.

WOWZA Streaming Engine (noto come Wowza Media Server prima della versione 4) è un software di streaming media server sviluppato da Wowza Media Systems.

L’azienda Wowza Media Systems con sede in Colorado, negli Stati Uniti d’America, vende il prodotto WOWZA Streaming Engine a molte agenzie governative presenti negli Stati Uniti, come ad esempio la NASA, l’US Air Force, la Boeing, SpaceX e la New York Police Department (NYPD) e molti altri clienti in tutto il mondo.

Il server viene utilizzato per lo streaming di applicazioni video, audio e on-demand su reti IP, su computer desktop, laptop e tablet, dispositivi mobili, set-top box IPTV, televisori collegati a Internet, console di gioco, e altri dispositivi collegati in rete.

Le vulnerabilità emesse da Red Team Research sono:

• CVE-2021-31540: Incorrect Permission Assignment for Critical Resource (CWE-732) con severity High da 7,1 di score;
• CVE-2021-31539: Cleartext Storage of Sensitive Information (CWE-312) con severity medium da 5.5 di score.

Il ricercatore Francesco Giordano (del team di ricerca guidato da Massimiliano Brolli), ha isolato questi ulteriori 2 zeroday dopo la precedente analisi svolta che portò all’emissione di 4 CVE nel 2019 quali: CVE-2019-19456, CVE-2019-19455, CVE-2019-19454 e CVE-2019-19453.

Il laboratorio di ricerca ha emesso la prima CVE il 25/11/2019 (da quanto è possibile dedurre dalla pagina istituzionale del RedTeam accessibile all’indirizzo https://www.gruppotim.it/redteam) e a distanza di circa un anno e mezzo, ha rilasciato 49 CVE su una serie di prodotti con una media di circa una CVE emessa ogni 11 giorni.