CVE-2017-7852

Kamery D-Link DCS mají slabý / nezabezpečený soubor CrossDomain.XML umožňuje webům hostujícím škodlivý objekty Flash přístup a / nebo změnu nastavení zařízení pomocí útoku CSRF. To je kvůli podřízený prvek 'allow-access-from domain' nastavený na *, čímž se přijímá požadavky z libovolné domény. Pokud se oběť přihlásí na web kamery konzoly navštíví škodlivý web hostující škodlivý soubor Flash jiný prohlížeč kartu, škodlivý soubor Flash pak může posílat požadavky na Kamera DCS série oběti bez znalosti pověření. An útočník může hostit škodlivý soubor Flash, který může načíst živá vysílání nebo informace z kamery DCS série, přidejte nového administrátora nebo provést jiné změny v zařízení. Známá ovlivněná zařízení jsou DCS-933L s firmwarem před 1.13.05, DCS-5030L, DCS-5020L, DCS-2530L, DCS-2630L, DCS-930L, DCS-932L a DCS-932LB1.

MISC: https://www.qualys.com/2017/02/22/qsa-2017-02-22/qsa-2017-02-22.pdf
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7852

8 let
231 zemí
189k uživatelů
1248k výpočtů
Logo www.elsec.cz
Logo ru.kedacom.com
Logo www.systemy-stech.cz
Logo www.kelcom.cz
Logo blog.camcloud.com
Logo sectech.co.nz