FireShell Security Team
Home Team Articles Sponsors About

[CVE-2017-15287] Vulnerability XSS - Dreambox - [PT-BR]

Prova de Conceito (Proof of Concept - PoC), que virou o CVE-2017-15287.

Sobre o Software:

O Dreambox é um produto da Dream-Multimedia-TV (DMM), que é desenvolvido por receptores baseados em Linux sob o nome Dreambox.

As vulnerabilidades:

Vulnerabilidade 1

O XSS está presente em duas áreas, sendo que na primeira área a vulnerabilidade se encontra em um WebPlugin chamado “BouquetEditor”:

URL: http://IP:PORT/bouqueteditor/

Passos:

1.Na aba Bouquets, ira adicionar uma nova bouquet

Passo 1

2.Assim, irar colocar o script:

(<script>alert('XSS')</script>)

Passo 2

3.Vulnerability XSS

Passo 3

Vulnerabilidade 2

A segunda falha consiste em colocar a variavel abaixo depois da url (http://IP:PORT)

Variavel :/file?file=%3CBODY%20ONLOAD=alert(%27XSS%27)%3E

XSS via endereço

Compartilhamentos:

Sites que já compatilharam o CVE:

0day

CERTSI

CXSecurity

Exploit Database

Exploit Kitploit

HackerTor

NVD

PacketStorm

Security Database

SecNews24

TSecurity

VulDB

© 2017 - 2018 FireShell Security Team. All rights reserved.