CVE-2017-7852

Kamery D-Link DCS mají slabý / nezabezpečený soubor CrossDomain.XML umožňuje webům hostujícím škodlivé objekty Flash přístup a / nebo změnu nastavení zařízení prostřednictvím útoku CSRF. Je to kvůli Podřízený prvek 'allow-access-from domain' nastaven na *, čímž přijímá požadavky z jakékoli domény. Pokud se oběť přihlásila na web kamery konzole navštíví škodlivou stránku, která hostí škodlivý soubor Flash z na další kartě Prohlížeč pak může škodlivý soubor Flash odeslat požadavky na fotoaparát oběti řady DCS, aniž by znal pověření. An útočník může hostit nebezpečný soubor Flash, který dokáže načíst živé kanály nebo informace z kamery DCS oběti, přidejte nového správce uživatele nebo provádět jiné změny v zařízení. Známá ovlivněná zařízení jsou DCS-933L s firmwarem před 1.13.05, DCS-5030L, DCS-5020L, DCS-2530L, DCS-2630L, DCS-930L, DCS-932L a DCS-932LB1.

MISC: https://www.qualys.com/2017/02/22/qsa-2017-02-22/qsa-2017-02-22.pdf
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7852

10 let
251 zemí
579k uživatelů
3204k výpočtů
Logo www.i4wifi.cz
Logo www.systemy-stech.cz
Logo reolink.com
Logo www.a1securitycameras.com
Logo www.eleksys.cz
Logo secutek.cz