CVE-2014-1902

Vícenásobné chyby skriptování mezi stránkami (XSS) v modelech kamer Y-Cam Rozsah SD YCB003, YCK003 a YCW003; Rozsah S YCB004, YCK004, YCW004; EyeBall YCEB03; Bullet VGA YCBL03 a YCBLB3; Bullet HD 720 YCBLHD5; Klasický rozsah Y-vačky YCB002, YCK002 a YCW003; a Y-cam Original Range YCB001, YCW001, spuštěný firmware 4.30 a dřívější, umožňují vzdáleným autentizovaným uživatelům vkládat libovolný webový skript nebo HTML pomocí parametru (1) SYSCONTACT do form / identityApply, jak je spouštěno pomocí en / identity.asp; (2) Parametr PASSWD, který má být vytvořen / accAdd, spuštěný pomocí en / account / accedit.asp; (3) Parametr NTPSERVER pro form / clockApply, jako spouštěný pomocí en / clock.asp; (4) Parametr SERVER do formuláře / smtpclientApply, který byl spuštěn pomocí příkazu en / smtpclient.asp; (5) Parametr SERVER pro form / ftpApply, jak je spuštěno pomocí en / ftp.asp; nebo (6) Parametr SERVER pro formování / httpEventApply, který byl spuštěn pomocí en / httpevent.asp.

CONFIRM: http://www.y-cam.com/y-cam-security-fix/
MISC: https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2014-007/?fid=3850
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1902

8 let
231 zemí
211k uživatelů
1361k výpočtů
Logo www.kelcom.cz
Logo www.a1securitycameras.com
Logo www.elsec.cz
Logo ru.kedacom.com
Logo www.systemy-stech.cz
Logo blog.camcloud.com