← voltar
CVE-2019-11001

CVE-2019-11001

CVSS 7.2 HIGHEPSS 38.4%● KEVCWE-78
Em resumo

Um usuário administrador em certos modelos de câmeras Reolink pode injetar comandos do sistema através da função de teste de e-mail, permitindo executar qualquer comando com privilégios de root no dispositivo.

Detalhe técnico

Vulnerabilidade de injeção de comando de SO autenticada no endpoint TestEmail via parâmetro addr1; permite que um admin autenticado execute comandos de sistema arbitrários com privilégios de root injetando metacaracteres de shell. Pré-condição: credenciais válidas de administrador. Impacto: comprometimento completo do sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.
On Reolink RLC-410W, C1 Pro, C2 Pro, RLC-422W, and RLC-511W devices through 1.0.227, an authenticated admin can use the "TestEmail" functionality to inject and run OS commands as root, as demonstrated by shell metacharacters in the addr1 field.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/mcw0/PoC/blob/master/Reolink-IPC-RCE.pyhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-11001https://www.vdoo.com/blog/working-with-the-community-%E2%80%93-significant-vulnerabilities-in-reolink-cameras/