CVE-2017-7852

Kamery DCS D-Link mají slabý/nejistý soubor Crossdomain.xml, který Umožňuje webům hostující škodlivé objekty Flash k přístupu a/nebo změně Nastavení zařízení prostřednictvím útoku CSRF. Důvodem je „Povolit-přístupový z domény“ dětský prvek nastavený na *, a tak přijímání požadavky z jakékoli domény. Pokud se oběť přihlásila do webu fotoaparátu Konzole navštěvuje škodlivý web, který hostuje škodlivý soubor Flash Další karta prohlížeče, soubor škodlivého blesku pak může odeslat požadavky Kamera řady DCS oběti, aniž by znala přihlašovací údaje. An Útočník může hostit škodlivý flash soubor, který dokáže načíst živé kanály nebo informace z kamery řady DCS oběti, přidejte nový administrátor Uživatelé nebo provést další změny v zařízení. Známá postižená zařízení jsou DCS-933L s firmwarem před 1.13.05, DCS-5030L, DCS-5020L, DCS-2530L, DCS-2630L, DCS-930L, DCS-932L a DCS-932LB1.

MISC: https://www.qualys.com/2017/02/22/qsa-2017-02-22/qsa-2017-02-22.pdf
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7852

14 let
257 zemí
687k uživatelů
4547k výpočtů
Logo www.use-ip.co.uk
Logo sectech.co.nz
Logo cities-today.com
Logo zoneway.cz
Logo www.a1securitycameras.com
Logo www.systemy-stech.cz