Dahua · Dahua Eims · CVE-2024-13985
Nome do Software Vulnerável e Versões Afetadas:
Versões do Dahua EIMS anteriores à 2240008
Descrição:
Uma falha de injeção de comando no Dahua EIMS permite que atacantes remotos não autenticados executem comandos arbitrários do sistema. Isso se deve à validação inadequada de entrada no parâmetro `captureCommand` do endpoint de API `/capture handle.action`. Requisições HTTP manipuladas podem injetar comandos de nível de sistema operacional, potencialmente levando ao comprometimento total do sistema.
Recomendações:
Atualize o Dahua EIMS para a versão 2240008 ou posterior.
Como solução temporária, restrinja o acesso ao endpoint de API `/capture handle.action`.
Sanitize todas as entradas no parâmetro `captureCommand`.