Di Supra Smart Cloud TV kerentanan (CVE-2019-12477) yang memungkinkan Anda mengganti program yang sedang dilihat dengan konten penyerang. Sebagai contoh, keluaran peringatan fiktif tentang keadaan darurat diperlihatkan.
Untuk melakukan serangan, cukup mengirimkan permintaan jaringan yang dibuat khusus yang tidak memerlukan otentikasi. Secara khusus, Anda dapat mengakses handler β/remote/media_control?action=setUri&uri=β dengan menentukan URL file m3u8 dengan parameter video, misalnya βhttp://192.168.1.155/remote/media_control?action=setUri&uri= http://penyerang .com/fake_broadcast_message.m3u8.β
Dalam kebanyakan kasus, akses ke alamat IP TV terbatas pada jaringan internal, namun karena permintaan dikirim melalui HTTP, dimungkinkan untuk menggunakan metode untuk mengakses sumber daya internal ketika pengguna membuka halaman eksternal yang dirancang khusus (misalnya, di bawah berkedok request gambar atau menggunakan ).
Sumber: opennet.ru