CVE-2018-14933
CVE-2018-14933
Em resumo
Um dispositivo NUUO NVRmini possui uma falha crítica na ferramenta de atualização que permite que invasores executem comandos arbitrários ao inserir comandos shell no parâmetro de diretório de upload. Isso permite controle total do dispositivo sem autenticação.
Detalhe técnico
Injeção de Comando Remoto em upgrade_handle.php por falta de sanitização do parâmetro uploaddir em comandos writeuploaddir. Atacantes podem injetar metacaracteres de shell para executar comandos arbitrários do sistema com privilégios do dispositivo, requerendo apenas acesso de rede ao endpoint afetado.
Resumo gerado e traduzido por IA a partir da descrição oficial.
upgrade_handle.php on NUUO NVRmini devices allows Remote Command Execution via shell metacharacters in the uploaddir parameter for a writeuploaddir command.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 3
cve_referencewww.exploit-db.com/exploits/46340/não verificadoexploitdbwww.exploit-db.com/exploits/46340não verificadocve_referencewww.exploit-db.com/exploits/45070/não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →