CVE-2017-7852

Kamery D-Link DCS mají slabý / nezabezpečený soubor CrossDomain.XML umožňuje webům hostujícím škodlivý objekty Flash přístup a / nebo změnu nastavení zařízení pomocí útoku CSRF. To je kvůli podřízený prvek 'allow-access-from domain' nastavený na *, čímž se přijímá požadavky z libovolné domény. Pokud se oběť přihlásí na web kamery konzoly navštíví škodlivý web hostující škodlivý soubor Flash jiný prohlížeč kartu, škodlivý soubor Flash pak může posílat požadavky na Kamera DCS série oběti bez znalosti pověření. An útočník může hostit škodlivý soubor Flash, který může načíst živé kanály nebo informace z kamery DCS série, přidejte nového administrátora nebo provádět jiné změny v zařízení. Známá ovlivněná zařízení jsou DCS-933L s firmwarem před 1.13.05, DCS-5030L, DCS-5020L, DCS-2530L, DCS-2630L, DCS-930L, DCS-932L a DCS-932LB1.

MISC: https://www.qualys.com/2017/02/22/qsa-2017-02-22/qsa-2017-02-22.pdf
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7852

8 let
232 zemí
222k uživatelů
1417k výpočtů
Logo www.a1securitycameras.com
Logo ru.kedacom.com
Logo blog.camcloud.com
Logo sectech.co.nz
Logo www.systemy-stech.cz
Logo www.kelcom.cz