CVE-2014-1902

Několik zranitelností skriptování mezi weby (XSS) v modelech kamer Y-Cam řady SD YCB003, YCK003 a YCW003; Řada S YCB004, YCK004, YCW004; EyeBall YCEB03; Odrážka VGA YCBL03 a YCBLB3; Bullet HD 720 YCBLHD5; Y-cam Classic Range YCB002, YCK002 a YCW003; a Y-cam Original Range YCB001, YCW001, s firmwarem 4.30 a dřívějším, umožňují vzdáleným ověřeným uživatelům vkládat libovolný webový skript nebo HTML prostřednictvím parametru (1) SYSCONTACT do form / identityApply, jak je spuštěno pomocí en / identity.asp; (2) PASSWD parametr form / accAdd, jak je spuštěn pomocí en / account / accedit.asp; (3) NTPSERVER parametr form / clockApply, jak je spuštěn pomocí en / clock.asp; (4) Parametr SERVER do formuláře / smtpclientApply, jak je spuštěn pomocí en / smtpclient.asp; (5) SERVER parametr form / ftpApply, jak je spuštěn pomocí en / ftp.asp; nebo (6) Parametr SERVER do formuláře / httpEventApply, jak je spuštěn pomocí en / httpevent.asp.

CONFIRM: http://www.y-cam.com/y-cam-security-fix/
MISC: https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2014-007/?fid=3850
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1902

9 let
247 zemí
453k uživatelů
2593k výpočtů
Logo blog.camcloud.com
Logo ru.kedacom.com
Logo www.eleksys.cz
Logo www.i4wifi.cz
Logo www.a1securitycameras.com
Logo sectech.co.nz