发布日期：2018-09-19
更新日期：2018-09-20

受影响系统：

NUUO NVRmini 2

描述：

---

CVE(CAN) ID: CVE-2018-1150

NVRMini2是便携式NVR解决方案。

NVRMini2系统在check_session_is_valid（）函数中存在后门代码，未授权的攻击者可以远程列出所有非admin的用户，并修改他们的密码。

<*来源：Tenable
  *>

建议：

---

临时解决方法：

绿盟科技方案
检测方案
使用绿盟科技Web应用漏洞扫描系统、绿盟科技绿盟远程安全评估系统发现内网存在问题的设备。
使用绿盟科技网络入侵检测系统发现网络中存在的攻击特征。
防护方案
使用绿盟科技WEB应用防护系统、绿盟科技NF防火墙系统、绿盟科技网络入侵防护系统进行设备隔离或者攻击阻断。

厂商补丁：

NUUO
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本，同时建议保证设备不暴露在互联网上，并在防火墙设备上加入对摄像头HTTP服务的访问控制策略：

http://www.nuuo.com/

浏览次数：2706
严重程度：0（网友投票）