CVE-2014-1902

Více zranitelností skriptování mezi servery (XSS) u modelů kamer Y-Cam Rozsahy SD YCB003, YCK003 a YCW003; Rozsah S YCB004, YCK004, YCW004; EyeBall YCEB03; Bullet VGA YCBL03 a YCBLB3; Bullet HD 720 YCBLHD5; Y-cam Classic Range YCB002, YCK002 a YCW003; a Y-cam Original Range YCB001, YCW001, spuštěný firmware 4.30 a starší, umožňují vzdáleným ověřeným uživatelům vkládat libovolný webový skript nebo HTML pomocí (1) parametru SYSCONTACT do formuláře / identityApply, jak je spuštěno pomocí en / identity.asp; (2) parametr PASSWD pro vytvoření / accAdd, jak je spuštěn pomocí en / account / accedit.asp; (3) Parametr NTPSERVER na form / clockApply, spuštěný pomocí en / clock.asp; (4) Parametr SERVER form / smtpclientApply, spuštěný pomocí en / smtpclient.asp; (5) Parametr SERVER form / ftpApply, spuštěný pomocí en / ftp.asp; nebo (6) parametr SERVER pro vytvoření / httpEventApply, jak je spuštěno pomocí en / httpevent.asp.

CONFIRM: http://www.y-cam.com/y-cam-security-fix/
MISC: https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2014-007/?fid=3850
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1902

9 let
246 zemí
402k uživatelů
2340k výpočtů
Logo blog.camcloud.com
Logo www.inv-technology.com
Logo www.power-shop.gr
Logo sectech.co.nz
Logo www.kelcom.cz
Logo www.elsec.cz