CVE-2018-14933
CVE-2018-14933
Vexday Risk Score
100Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 9.8EPSS 93.7%KEV simPoC públicaNuclei simMetasploit simPatch —
Ciclo de vida
04 ago 2018Exploit Metasploit disponible
04 ago 2018Publicada en NVD
11 feb 2019PoC pública
18 dic 2024Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Un dispositivo NUUO NVRmini tiene una falla crítica en su herramienta de actualización que permite a los atacantes ejecutar comandos arbitrarios al insertar comandos shell en el parámetro de directorio de carga. Esto permite el control total del dispositivo sin autenticación.
Detalle técnico
Inyección de Comando Remoto en upgrade_handle.php por falta de sanitización del parámetro uploaddir en comandos writeuploaddir. Los atacantes pueden inyectar metacaracteres de shell para ejecutar comandos arbitrarios del sistema con privilegios del dispositivo, requiriendo solo acceso de red al endpoint afectado.
Resumen generado y traducido por IA a partir de la descripción oficial.
upgrade_handle.php on NUUO NVRmini devices allows Remote Command Execution via shell metacharacters in the uploaddir parameter for a writeuploaddir command.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/aPoCs públicas encontradas — 3
cve_referencewww.exploit-db.com/exploits/46340/no verificadoexploitdbwww.exploit-db.com/exploits/46340no verificadocve_referencewww.exploit-db.com/exploits/45070/no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →