CVE-2014-1902

Více objektových skriptů (XSS) v C-kamer modely řady SD YCB003, YCK003 a YCW003; S řady YCB004, YCK004, YCW004; EyeBall YCEB03; Bullet VGA YCBL03 a YCBLB3; Bullet HD 720 YCBLHD5; Y-cam klasický rozsah YCB002, YCK002 a YCW003; a Y-cam Originální rozsah YCB001, YCW001, běžící firmware 4.30 a starší, umožnit vzdáleným ověřeným uživatelům podat libovolný webový skript nebo HTML pomocí parametru (1) SYSCONTACT k vytvoření / identityApply, as spouštěna pomocí en / identity.asp; (2) Parametr PASSWD pro vytvoření / accAdd, jak bylo spuštěno pomocí en / account / accedit.asp; (3) parametr NTPSERVER na form / clockApply, jak je spuštěn pomocí en / clock.asp; (4) parametr SERVER k vytváření / smtpclientApply, jak je spuštěn pomocí en / smtpclient.asp; (5) Parametr SERVER pro vytvoření / ftpApply, jak je spuštěn pomocí en / ftp.asp; nebo (6) parametr SERVER pro vytvoření / httpEventApply, jak je spuštěn pomocí en / httpevent.asp.

MISC: https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2014-007/?fid=3850
CONFIRM: http://www.y-cam.com/y-cam-security-fix/
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1902

7 let
228 zemí
144k uživatelů
1017k výpočtů
Logo www.a1securitycameras.com
Logo reolink.com
Logo secutek.cz
Logo blog.camcloud.com
Logo sectech.co.nz
Logo www.elsec.cz