发布日期：2022-01-14
更新日期：2022-03-15

受影响系统：

NUUO NUUO NVRmini2 <= 3.11

描述：

---

CVE(CAN) ID: CVE-2022-23227

NUUO NVRMini2是中国台湾NUUO公司的一款小型网络硬盘录像机设备。
NUUO NVRmini2 3.11及之前版本存在身份验证错误漏洞，该漏洞源于程序未对handle_import_user.php进行正确的验证。未经身份认证的攻击者可利用该漏洞通过上传加密的TAR存档文件添加任意用户，还可同时结合另一个漏洞（CVE-2011-5325）覆盖web根目录下的任意文件，并以根权限执行代码。

<**>

建议：

---

厂商补丁：

NUUO
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.nuuo.com/

浏览次数：1422
严重程度：0（网友投票）