CVE-2018-14933
CVE-2018-14933
Vexday Risk Score
100Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 9.8EPSS 93.7%KEV simPoC públicaNuclei simMetasploit simPatch —
Ciclo de vida
04 ago 2018Exploit Metasploit disponível
04 ago 2018Publicada no NVD
11 fev 2019PoC pública
18 dez 2024Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
Um dispositivo NUUO NVRmini possui uma falha crítica na ferramenta de atualização que permite que invasores executem comandos arbitrários ao inserir comandos shell no parâmetro de diretório de upload. Isso permite controle total do dispositivo sem autenticação.
Detalhe técnico
Injeção de Comando Remoto em upgrade_handle.php por falta de sanitização do parâmetro uploaddir em comandos writeuploaddir. Atacantes podem injetar metacaracteres de shell para executar comandos arbitrários do sistema com privilégios do dispositivo, requerendo apenas acesso de rede ao endpoint afetado.
Resumo gerado e traduzido por IA a partir da descrição oficial.
upgrade_handle.php on NUUO NVRmini devices allows Remote Command Execution via shell metacharacters in the uploaddir parameter for a writeuploaddir command.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 3
cve_referencewww.exploit-db.com/exploits/46340/não verificadoexploitdbwww.exploit-db.com/exploits/46340não verificadocve_referencewww.exploit-db.com/exploits/45070/não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →