CVE-2018-14933
CVE-2018-14933
En resumen
Un dispositivo NUUO NVRmini tiene una falla crítica en su herramienta de actualización que permite a los atacantes ejecutar comandos arbitrarios al insertar comandos shell en el parámetro de directorio de carga. Esto permite el control total del dispositivo sin autenticación.
Detalle técnico
Inyección de Comando Remoto en upgrade_handle.php por falta de sanitización del parámetro uploaddir en comandos writeuploaddir. Los atacantes pueden inyectar metacaracteres de shell para ejecutar comandos arbitrarios del sistema con privilegios del dispositivo, requiriendo solo acceso de red al endpoint afectado.
Resumen generado y traducido por IA a partir de la descripción oficial.
upgrade_handle.php on NUUO NVRmini devices allows Remote Command Execution via shell metacharacters in the uploaddir parameter for a writeuploaddir command.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/aPoCs públicas encontradas — 3
cve_referencewww.exploit-db.com/exploits/46340/no verificadoexploitdbwww.exploit-db.com/exploits/46340no verificadocve_referencewww.exploit-db.com/exploits/45070/no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →