CVE-2017-7852

Kamery D-Link DCS mají slabý / nezabezpečený soubor CrossDomain.XML umožňuje webům hostujícím škodlivé objekty Flash přístup a / nebo změnu nastavení zařízení prostřednictvím útoku CSRF. Je to kvůli podřízený prvek 'allow-access-from domain' nastaven na *, čímž přijímá požadavky z jakékoli domény. Pokud se oběť přihlásila na web kamery konzole navštíví škodlivý web, který hostí škodlivý soubor Flash z na další kartě Prohlížeč pak může škodlivý soubor Flash odeslat požadavky na fotoaparát oběti řady DCS, aniž by znal pověření. An útočník může hostit nebezpečný soubor Flash, který může načíst živé kanály nebo informace z kamery DCS oběti, přidejte nového správce uživatele nebo provádět jiné změny v zařízení. Známá ovlivněná zařízení jsou DCS-933L s firmwarem před 1.13.05, DCS-5030L, DCS-5020L, DCS-2530L, DCS-2630L, DCS-930L, DCS-932L a DCS-932LB1.

MISC: https://www.qualys.com/2017/02/22/qsa-2017-02-22/qsa-2017-02-22.pdf
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7852

10 let
249 zemí
523k uživatelů
2935k výpočtů
Logo www.inv-technology.com
Logo www.systemy-stech.cz
Logo www.kelcom.cz
Logo www.i4wifi.cz
Logo secutek.cz
Logo www.a1securitycameras.com