关键信息 漏洞名称: BEWARD N100 H.264 VGA IP Camera M2.1.6 Root Remote Code Execution 厂商: Beward R&D Co., Ltd 产品网页: https://www.beward.net 受影响版本: M2.1.6.04C014 风险等级: High CVE编号: N/A 发现者: Gjoko 'LiquidWorm' Krstic (@zeroscience) 顾问ID: ZSL-2019-5512 顾问URL: https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5512.php 漏洞描述 该摄像头存在两个经过身份验证的命令注入漏洞。这些问题在通过servetest页面调用ServerName或TimeZone GET参数时触发。攻击者可以利用这些漏洞注入任意系统命令并获得远程代码执行权限。 测试环境 操作系统: Boa/0.94.14rc21, Faraday ARM Linux 2.6 命令注入示例 TimeZone命令注入 ServerName命令注入