內容說明
研究人員發現 利凌科技 部分監控主機與監控攝影機型號存在作業系統指令注入(OS Command Injection)漏洞(CVE-2026-0854、CVE-2026-0855)。已通過身分鑑別之遠端攻擊者可注入任意作業系統指令並於設備上執行,請儘速確認並進行修補。
影響平台
影響監控主機型號與韌體版本:
- DH032:v1.0.28.3858(含)以前版本
- DVR708、DVR716:v1.3.4(含)以前版本
- DVR804、DVR808、DVR816:v1.3.4(含)以前版本
- NVR100L、NVR200L、NVR400L、NVR1400L、NVR2400L:v1.1.66(含)以前版本
- NVR3216、NVR3416、NVR3416r、NVR3816:v2.0.74.3921(含)以前版本
- NVR5832、NVR5832S:v4.0.24.4043(含)以前版本
- NVR5104E、NVR5208E、NVR5416E:v4.0.24.4078(含)以前版本
監控攝影機型號:
- P2、P3、Z7、P6、V1、PD、IPR、LD、LR 系列型號
處置建議
官方已針對漏洞釋出修復更新,請參考官方說明進行更新,網址如下:
https://www.meritlilin.com/security/securityPDFs/M00175%20VULNERABILITY%20DVRCh.pdf
https://www.meritlilin.com/security/securityPDFs/M00176%20VULNERABILITY%20CameraCh.pdf
CVE編號
CVE-2026-0854
CVE-2026-0855
參考資料
1. https://nvd.nist.gov/vuln/detail/CVE-2025-59384
2. https://nvd.nist.gov/vuln/detail/CVE-2025-59387
3. https://www.qnap.com/en/security-advisory/qsa-25-54
4. https://www.qnap.com/en/security-advisory/qsa-25-53