CVE-2017-7852

Kamery DCS D-Link mají slabý/nejistý soubor Crossdomain.xml, který Umožňuje webům hostující škodlivé objekty Flash k přístupu a/nebo změně Nastavení zařízení prostřednictvím útoku CSRF. Důvodem je „Povolit-přístupový z domény“ dětský prvek nastavený na *, a tak přijímání požadavky z jakékoli domény. Pokud se oběť přihlásila do webu fotoaparátu Konzole navštěvuje škodlivý web, který hostuje škodlivý soubor Flash Další karta prohlížeče, soubor škodlivého blesku pak může odeslat požadavky Kamera řady DCS oběti, aniž by znala přihlašovací údaje. An Útočník může hostit škodlivý flash soubor, který dokáže načíst živé kanály nebo informace z kamery řady DCS oběti, přidejte nový administrátor Uživatelé nebo provést další změny v zařízení. Známá postižená zařízení jsou DCS-933L s firmwarem před 1.13.05, DCS-5030L, DCS-5020L, DCS-2530L, DCS-2630L, DCS-930L, DCS-932L a DCS-932LB1.

MISC: https://www.qualys.com/2017/02/22/qsa-2017-02-22/qsa-2017-02-22.pdf
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7852

14 let
257 zemí
685k uživatelů
4536k výpočtů
Logo ipcamtalk.com
Logo zoneway.cz
Logo www.i4wifi.cz
Logo www.use-ip.co.uk
Logo www.elsec.cz
Logo reolink.com