Pada TV Awan Pintar Supra kerentanan (CVE-2019-12477) yang membolehkan anda menggantikan program yang sedang dilihat dengan kandungan penyerang. Sebagai contoh, keluaran amaran rekaan tentang situasi kecemasan ditunjukkan.
Untuk serangan, sudah cukup untuk menghantar permintaan rangkaian yang dibuat khas yang tidak memerlukan pengesahan. Khususnya, anda boleh mengakses pengendali β/remote/media_control?action=setUri&uri=β dengan menyatakan URL fail m3u8 dengan parameter video, contohnya βhttp://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.β
Dalam kebanyakan kes, akses kepada alamat IP TV adalah terhad kepada rangkaian dalaman, tetapi memandangkan permintaan dihantar melalui HTTP, adalah mungkin untuk menggunakan kaedah untuk mengakses sumber dalaman apabila pengguna membuka halaman luaran yang direka khas (contohnya, di bawah bertopengkan permintaan gambar atau menggunakan ).
Sumber: opennet.ru