Vulnerabilidad en los modelos MVPower CCTV DVR (CVE-2016-20016)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/10/2022
Última modificación:
09/05/2025
Descripción
Los modelos MVPower CCTV DVR, incluyendo TV-7104HE 1.8.4 115215B9 y TV7108HE, contienen un shell web que es accesible por medio de un URI /shell. Un atacante remoto no autenticado puede ejecutar comandos arbitrarios del sistema operativo como root. Esta vulnerabilidad también ha sido denominado "JAWS webserver RCE" debido al campo del servidor de respuesta HTTP fácilmente identificable. Otras versiones de firmware, al menos desde 2014 hasta 2019, pueden verse afectadas. Esto fue explotado "in the wild" en 2017 hasta 2022
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:mvpower:tv-7104he_firmware:1.8.4_115215b9:*:*:*:*:*:*:* | ||
| cpe:2.3:h:mvpower:tv-7104he:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:mvpower:tv7108he_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:mvpower:tv7108he:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/
- https://www.exploit-db.com/exploits/41471
- https://www.pentestpartners.com/security-blog/pwning-cctv-cameras/
- https://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/
- https://www.exploit-db.com/exploits/41471
- https://www.pentestpartners.com/security-blog/pwning-cctv-cameras/