CVE-2024-13985

Nome do Software Vulnerável e Versões Afetadas: Versões do Dahua EIMS anteriores à 2240008

Descrição: Uma falha de injeção de comando no Dahua EIMS permite que atacantes remotos não autenticados executem comandos arbitrários do sistema. Isso se deve à validação inadequada de entrada no parâmetro captureCommand do endpoint de API /capture handle.action. Requisições HTTP manipuladas podem injetar comandos de nível de sistema operacional, potencialmente levando ao comprometimento total do sistema.

Recomendações: Atualize o Dahua EIMS para a versão 2240008 ou posterior. Como solução temporária, restrinja o acesso ao endpoint de API /capture handle.action. Sanitize todas as entradas no parâmetro captureCommand.