[公开漏洞]酷狗DLNA远程遥控漏洞

酷狗DLNA远程遥控漏洞 相关厂商： 酷狗 漏洞作者：chance 提交时间：2014-05-03 20:58 公开时间：2014-06-17 20:59 漏洞类型：未授权访问/权限绕过 危害等级：中 自评Rank：7 漏洞状态： 厂商已经确认 漏洞来源：http://www.wooyun.org Tags标签： 敏感接口缺乏认证 越权操作 未授权访问 漏洞详情 披露状态：

2014-05-03：细节已通知厂商并且等待厂商处理中
2014-05-04：厂商已经确认，细节仅向厂商公开
2014-05-14：细节向核心白帽子及相关领域专家公开
2014-05-24：细节向普通白帽子公开
2014-06-03：细节向实习白帽子公开
2014-06-17：细节向公众公开

简要描述：

手机酷狗DLNA在局域网可无需验证直接获取开启DLNA功能的酷狗PC的音乐播放。

详细说明：

手机酷狗DLNA在局域网会扫描到整个局域网有DLNA功能的PC，并在无需任何授权的前提下直接取得扫描到的PC的酷狗音乐播放控制权。

漏洞证明：

修复方案：

1、发布软件时，将酷狗的DLNA设置为默认关闭；

2、在电脑版酷狗第一次被手机酷狗控制前，弹出提示，并让用户提示是否接受，并让用户能设置认证手机，已认证过的才可控制播放音乐，未经认证的不可。

版权声明：转载请注明来源 chance@乌云 漏洞回应 厂商回应：

危害等级：低

漏洞Rank：1

确认时间：2014-05-04 14:27

厂商回复：

的确是产品考虑的问题，目前的处理是符合预期的，我们将考虑作为一个产品特性。
谢谢！

最新状态：

暂无