TVN-202601003 - 利凌監控主機命令注入漏洞
基本資訊
- 來源: TWCERT/CC
- TVN 編號: TVN-202601003
- CVE 編號: CVE-2026-0854
- CVSS 評分: 8.8 (High)
- CVSS 向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- 發布日期: 2026-01-12
漏洞描述
利凌監控主機存在 OS Command Injection 漏洞,已通過身分鑑別的遠端攻擊者可注入任意作業系統指令並於設備上執行。
受影響產品
- 廠商: 利凌
- 產品: 監控主機
- 受影響型號與版本:
- DH032: v1.0.28.3858 及更早版本
- DVR708/716: v1.3.4 及更早版本
- DVR804/808/816: v1.3.4 及更早版本
- NVR100L/200L/400L/1400L/2400L: v1.1.66 及更早版本
- NVR3216/3416/3416r/3816: v2.0.74.3921 及更早版本
- NVR5832/5832S: v4.0.24.4043 及更早版本
- NVR5104E/5208E/5416E: v4.0.24.4078 及更早版本
影響範圍
需認證的遠端攻擊向量,已驗證身分的攻擊者可完全控制設備。
解決方案
參考官方公告(M00175)進行韌體更新,詳見廠商安全公告頁面。