Ing Supra Smart Cloud TV kerentanan (CVE-2019-12477) sing ngidini sampeyan ngganti program sing saiki dideleng karo konten penyerang. Minangka conto, output saka bebaya fiktif babagan kahanan darurat dituduhake.
Kanggo serangan, cukup kanggo ngirim panjalukan jaringan sing digawe khusus sing ora mbutuhake otentikasi. Utamane, sampeyan bisa ngakses "/remote/media_control?action=setUri&uri=" handler kanthi nemtokake URL file m3u8 kanthi paramΓ¨ter video, contone "http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker.com/fake_broadcast_message.m3u8.β
Umume kasus, akses menyang alamat IP TV diwatesi ing jaringan internal, nanging amarga panjaluk dikirim liwat HTTP, sampeyan bisa nggunakake cara kanggo ngakses sumber daya internal nalika pangguna mbukak kaca eksternal sing dirancang khusus (contone, ing ngisor iki). guise saka request gambar utawa nggunakake ).
Source: opennet.ru