PT-2022-7851 · Mvpower · Mvpower Cctv Dvr
Andrew Tierney
·
Publicado
2022-10-19
·
Atualizado
2026-02-22
·
CVE-2016-20016
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Modelos de DVR de CFTV da MVPower, incluindo o TV-7104HE versão 1.8.4 115215B9 e o TV7108HE, versões de 2014 a 2019
Descrição
A vulnerabilidade permite que um invasor remoto não autenticado execute comandos arbitrários do sistema operacional como root por meio de um web shell acessível através do URI
/shell. Isso tem sido chamado de “JAWS webserver RCE” devido ao campo identificável de resposta HTTP do servidor. A vulnerabilidade foi explorada em ambiente real de 2017 a 2022.Recomendações
Para os modelos de DVR de CFTV da MVPower, incluindo o TV-7104HE versão 1.8.4 115215B9 e o TV7108HE, versões de 2014 a 2019, considere desativar o acesso ao URI
/shell como uma solução temporária até que um patch esteja disponível. Restringir o acesso a este URI pode minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
RCE
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mvpower Cctv Dvr