CVE-2017-7852

Kamery D-Link DCS mají slabý / nezabezpečený soubor CrossDomain.XML umožňuje webům hostujícím škodlivé objekty Flash přístup a / nebo změnu nastavení zařízení prostřednictvím útoku CSRF. Je to kvůli podřízený prvek 'allow-access-from domain' nastaven na *, čímž přijímá požadavky z jakékoli domény. Pokud se oběť přihlásila na web kamery konzole navštíví škodlivý web hostující škodlivý soubor Flash z na další kartě Prohlížeč pak může nebezpečný soubor Flash odeslat požadavky na fotoaparát oběti řady DCS, aniž by znal pověření. An útočník může hostit nebezpečný soubor Flash, který může načíst živé kanály nebo informace z kamery DCS oběti, přidejte nového správce uživatele nebo provádět jiné změny v zařízení. Známá ovlivněná zařízení jsou DCS-933L s firmwarem před 1.13.05, DCS-5030L, DCS-5020L, DCS-2530L, DCS-2630L, DCS-930L, DCS-932L a DCS-932LB1.

MISC: https://www.qualys.com/2017/02/22/qsa-2017-02-22/qsa-2017-02-22.pdf
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7852

9 let
247 zemí
453k uživatelů
2594k výpočtů
Logo www.a1securitycameras.com
Logo sectech.co.nz
Logo www.power-shop.gr
Logo www.eleksys.cz
Logo reolink.com
Logo secutek.cz