360 Netlab

**Nome do Software Vulnerável e Versões Afetadas** LILIN Gravador de Vídeo Digital (DVR) versões anteriores a 2.0b60 20200207 **Descrição** Existe uma vulnerabilidade de injeção de comandos devido à sanitização insuficiente dos campos de Servidor FTP e NTP na configuração do serviço. Um invasor com acesso à interface de configuração pode carregar um arquivo XML malicioso com comandos de shell injetados nesses campos. Em sincronizações de configuração subsequentes, esses comandos são executados com privilégios elevados. Esta vulnerabilidade foi explorada em ambiente real pelas botnets Moobot. **Recomendações** Atualize para a versão de firmware 2.0b60 20200207 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** LILIN Digital Video Recorder (DVR) versões anteriores a 2.0b60 20200207 **Descrição** Existe uma vulnerabilidade de leitura arbitrária de arquivos sem autenticação em dispositivos LILIN Digital Video Recorder (DVR). Isso permite que atacantes leiam arquivos de configuração sensíveis, como `/zconf/service.xml`, potencialmente levando a ataques adicionais como injeção de comandos. O endpoint `/z/zbin/net html.cgi` é o ponto de entrada para este problema. Esta vulnerabilidade tem sido explorada na natureza por botnets, incluindo FBot e Moobot. **Recomendações** Atualize o LILIN Digital Video Recorder (DVR) para a versão 2.0b60 20200207 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** LILIN Digital Video Recorder (DVR) versões anteriores a 2.0b60 20200207 **Descrição** Existe uma vulnerabilidade de injeção de comandos nos dispositivos LILIN Digital Video Recorder (DVR). O serviço web em `/z/zbin/dvr box` não sanitiza adequadamente a entrada fornecida ao campo `Server` dentro da configuração NTPUpdate. Isso permite que atacantes remotos injetem e executem comandos arbitrários como root ao fornecer dados XML manipulados à interface DVRPOST. **Recomendações** Atualize o LILIN Digital Video Recorder (DVR) para a versão 2.0b60 20200207 ou posterior.