检查这些权限
在在线电视流服务中发现了安全漏洞,该服务可以使攻击者能够对主机操作系统获得完全的管理控制。
缺陷,分配为CVE-2020-9380在软件公司IPTV Smarters生beplay体育能用吗产的智能电视解决方案的“ WebTV播放器”系列中找到。beplay维护得多久
beplay体育能用吗WebTV播放器需要Internet连接才能流传输实时电视和视频(VOD)媒体。这使用户可以从浏览器中观看内容。安德森·帕勃罗(Anderson Pablo),发现缺陷的研究人员之一。
Pablo和他的团队发现该产品包括一个任意文件上传功能,这意味着任何用户都可以将文件上传到服务器而无需身份验证。
产品的每个版本都包括一个/ajax-control.php帕勃罗说,命令允许这种未经授权的特权升级发生,并有可能在网络上获得持续存在的攻击者。
帕勃罗在beplay体育能用吗一个中等职位昨天(3月9日)出版。
但是,恶意演员将需要访问本地WiFi网络,以便对Web TV服务器执行命令。beplay体育能用吗
如果用户将WebTV Player应用程序暴露于公共面对Internet,则可以对此进行抵消。beplay体育能用吗
概念证明也已发布github。
为了避免妥协,用户应“在上传时检查文件扩展名和MIME类型”,Pablo说。确保授予上传目录的正确权限是额外的防御线。
每日swbeplay2018官网ig联系了Pablo在Twitter上要了解是否通过任何负责任的披露过程将漏洞报告给供应商IPTV智能。
巴勃罗说,由于供应商没有“提供任何支持或更新”,因此没有向IPTV智能报告漏洞。
帕勃罗(Pablo)在媒介上补充说:“我们相信脆弱性和负责任的交流的演示使每个人都更安全。
“显然,我们不能对第三方行为负责。”
你可能还喜欢在解析服务器中发现的高严重性正则错误
