CVE-2017-7852

Kamery D-Link DCS mají slabý / nejistý soubor CrossDomain.XML umožňuje webům hostujícím škodlivé objekty Flash přístup a / nebo změnu nastavení zařízení pomocí útoku CSRF. Důvodem je Podřízený prvek 'allow-access-from domain' je nastaven na *, takže je přijímá žádosti z jakékoli domény. Pokud se oběť přihlásila na web kamery konzole navštíví škodlivý web hostující škodlivý soubor Flash od na další kartu Prohlížeče může škodlivý soubor Flash odeslat žádosti kamera řady DCS oběti, aniž by znal pověření. An Útočník může hostit škodlivý soubor Flash, který dokáže načíst živé kanály nebo informace z kamery řady DCS oběti, přidejte nového správce uživatelé nebo provést jiné změny v zařízení. Známá postižená zařízení jsou DCS-933L s firmwarem před 1.13.05, DCS-5030L, DCS-5020L, DCS-2530L, DCS-2630L, DCS-930L, DCS-932L a DCS-932LB1.

MISC: https://www.qualys.com/2017/02/22/qsa-2017-02-22/qsa-2017-02-22.pdf
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7852

8 let
235 zemí
250k uživatelů
1557k výpočtů
Logo www.i4wifi.cz
Logo www.kelcom.cz
Logo ru.kedacom.com
Logo www.power-shop.gr
Logo www.systemy-stech.cz
Logo blog.camcloud.com