漏洞信息(CVE-2022-23227)

一、漏洞 CVE-2022-23227 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

NUUO NVRmini2到3.11允许未验证的攻击者上传加密的TAR文件，由于缺少handle_import_user.php认证，该文件可能被滥用添加任意用户。当与其他漏洞(CVE-2011-5325)结合使用时，可能覆盖Web根下的任意文件，实现代码作为根执行。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

NUUO NVRmini2 through 3.11 allows an unauthenticated attacker to upload an encrypted TAR archive, which can be abused to add arbitrary users because of the lack of handle_import_user.php authentication. When combined with another flaw (CVE-2011-5325), it is possible to overwrite arbitrary files under the web root and achieve code execution as root.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

NUUO NVRmini2访问控制错误漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

NUUO NVRMini2是中国台湾NUUO公司的一款小型网络硬盘录像机设备。 NUUO NVRmini2存在安全漏洞，该漏洞允许未经身份验证的攻击者上传加密的 TAR 存档，由于缺少 handle_import_user.php 身份验证，可滥用该存档添加任意用户。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

授权问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2022-23227 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2022-23227 的情报信息

https://github.com/pedrib/PoC/blob/master/advisories/NUUO/nuuo_nvrmini_round2.mkd x_refsource_MISC
https://github.com/rapid7/metasploit-framework/pull/16044 x_refsource_MISC
https://portswigger.net/daily-swig/researcher-discloses-alleged-zero-day-vulnerabilities-in-nuuo-nvrmini2-recording-device x_refsource_MISC
https://news.ycombinator.com/item?id=29936569 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2022-23227

一、 漏洞 CVE-2022-23227 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2022-23227 的公开POC

三、漏洞 CVE-2022-23227 的情报信息

一、漏洞 CVE-2022-23227 基础信息