CVE-2017-7852

Kamery D-Link DCS mají slabý / nejistý soubor CrossDomain.XML umožňuje webům hostujícím škodlivé objekty Flash přístup a / nebo změnu nastavení zařízení pomocí útoku CSRF. Důvodem je Podřízený prvek 'allow-access-from domain' je nastaven na *, takže je přijímá žádosti z jakékoli domény. Pokud se oběť přihlásila na web kamery konzole navštíví škodlivý web hostující škodlivý soubor Flash od na další kartu Prohlížeče může škodlivý soubor Flash odeslat žádosti kamera řady DCS oběti, aniž by znal pověření. An Útočník může hostit škodlivý soubor Flash, který dokáže načíst živé kanály nebo informace z kamery řady DCS oběti, přidejte nového správce uživatelé nebo provést jiné změny v zařízení. Známá postižená zařízení jsou DCS-933L s firmwarem před 1.13.05, DCS-5030L, DCS-5020L, DCS-2530L, DCS-2630L, DCS-930L, DCS-932L a DCS-932LB1.

MISC: https://www.qualys.com/2017/02/22/qsa-2017-02-22/qsa-2017-02-22.pdf
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7852

9 let
246 zemí
402k uživatelů
2340k výpočtů
Logo reolink.com
Logo secutek.cz
Logo www.systemy-stech.cz
Logo ru.kedacom.com
Logo blog.camcloud.com
Logo www.i4wifi.cz