← volver
CVE-2019-11001

CVE-2019-11001

CVSS 7.2 HIGHEPSS 38.4%● KEVCWE-78
En resumen

Un usuario administrador en ciertos modelos de cámaras Reolink puede inyectar comandos del sistema a través de la función de prueba de correo electrónico, permitiendo ejecutar cualquier comando con privilegios de root en el dispositivo.

Detalle técnico

Vulnerabilidad de inyección de comandos del SO autenticada en el endpoint TestEmail mediante el parámetro addr1; permite que un admin autenticado ejecute comandos arbitrarios del sistema con privilegios de root inyectando metacaracteres de shell. Precondición: credenciales válidas de administrador. Impacto: compromiso completo del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.
On Reolink RLC-410W, C1 Pro, C2 Pro, RLC-422W, and RLC-511W devices through 1.0.227, an authenticated admin can use the "TestEmail" functionality to inject and run OS commands as root, as demonstrated by shell metacharacters in the addr1 field.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/mcw0/PoC/blob/master/Reolink-IPC-RCE.pyhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-11001https://www.vdoo.com/blog/working-with-the-community-%E2%80%93-significant-vulnerabilities-in-reolink-cameras/