CVE-2017-7852

D-Link DCS kamery mají slabý / nejistý soubor CrossDomain.XML umožňuje stránkám, které obsahují škodlivé objekty Flash, přístup a / nebo změnu nastavení zařízení pomocí útoku CSRF. Je to proto, že 'allow-access-from-domain' podřízený prvek nastavený na *, tedy akceptovat žádosti z jakékoli domény. Pokud se oběť přihlásila do webového místa fotoaparátu konzole navštíví škodlivý web, ze kterého hostuje škodlivý soubor Flash jinou kartu Prohlížeč, pak může škodlivý soubor Flash odesílat požadavky fotoaparát DCS řady obětí bez znalosti pověření. An útočník může hostit škodlivý soubor Flash, který může načíst živé kanály nebo informace z kamery řady DCS oběti, přidejte nové administrátory uživatelé nebo provádět další změny v zařízení. Známé dotčené zařízení jsou DCS-933L s firmware před 1.13.05, DCS-5030L, DCS-5020L, DCS-2530L, DCS-2630L, DCS-930L, DCS-932L a DCS-932LB1.

MISC: https://www.qualys.com/2017/02/22/qsa-2017-02-22/qsa-2017-02-22.pdf
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7852

7 let
218 zemí
107k uživatelů
780k výpočtů