CVE-2017-7852
Kamery D-Link DCS mají slabý/nezabezpečený soubor CrossDomain.XML, který umožňuje webům hostujícím škodlivé objekty Flash přistupovat a/nebo je měnit nastavení zařízení prostřednictvím CSRF útoku. To je kvůli Podřízený prvek 'allow-access-from domain' nastaven na *, čímž je přijat požadavky z libovolné domény. Pokud se oběť přihlásila na web kamery konzole navštíví škodlivý web hostující škodlivý soubor Flash na jiné kartě Prohlížeče, může škodlivý soubor Flash odesílat požadavky fotoaparát oběti řady DCS bez znalosti přihlašovacích údajů. An útočník může hostit škodlivý soubor Flash, který může načíst živé kanály nebo informace z kamery řady DCS oběti, přidejte nového správce uživatele nebo provést jiné změny na zařízení. Známá dotčená zařízení jsou DCS-933L s firmwarem před 1.13.05, DCS-5030L, DCS-5020L, DCS-2530L, DCS-2630L, DCS-930L, DCS-932L a DCS-932LB1.
MISC: https://www.qualys.com/2017/02/22/qsa-2017-02-22/qsa-2017-02-22.pdf
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7852
published: 24. 4. 2017