CVE-2014-1902
Více zranitelností cross-site scripting (XSS) v modelech kamer Y-Cam řady SD YCB003, YCK003 a YCW003; S rozsah YCB004, YCK004, YCW004; EyeBall YCEB03; Bullet VGA YCBL03 a YCBLB3; Bullet HD 720 YCBLHD5; Y-cam Classic řady YCB002, YCK002 a YCW003; a Y-cam Original Range YCB001, YCW001, s firmwarem 4.30 a starším, umožňují vzdáleným ověřeným uživatelům vkládat libovolný webový skript nebo HTML prostřednictvím (1) parametru SYSCONTACT do formuláře/identityApply, jak je spouštěno pomocí en/identity.asp; (2) Parametr PASSWD pro formulář/accAdd, který se spouští pomocí en/account/accedit.asp; (3) Parametr NTPSERVER pro form/clockApply, spouštěný pomocí en/clock.asp; (4) Parametr SERVER pro formulář/smtpclientApply, spouštěný pomocí en/smtpclient.asp; (5) Parametr SERVER pro form/ftpApply, spouštěný pomocí en/ftp.asp; nebo (6) parametr SERVER pro formulář/httpEventApply, jak je spuštěn pomocí en/httpevent.asp.
CONFIRM: http://www.y-cam.com/y-cam-security-fix/
MISC: https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2014-007/?fid=3850
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1902
published: 13. 5. 2015