內容說明

研究人員發現利凌部分監控主機與監控攝影機型號分別存在作業系統指令注入(OS Command Injection)漏洞(CVE-2026-0854與CVE-2026-0855)，已通過身分鑑別之遠端攻擊者可注入任意作業系統指令並於設備上執行，請儘速確認並進行修補。

 

影響平台

影響監控主機型號與韌體版本：
DH032：v1.0.28.3858(含)以前版本
DVR708與DVR716：v1.3.4(含)以前版本
DVR804、DVR808及DVR816：v1.3.4(含)以前版本
NVR100L、NVR200L、NVR400L、NVR1400L及NVR2400L：v1.1.66(含)以前版本
NVR3216、NVR3416、NVR3416r及NVR3816：v2.0.74.3921(含)以前版本
NVR5832與NVR5832S：v4.0.24.4043(含)以前版本
NVR5104E、NVR5208E及NVR5416E：v4.0.24.4078(含)以前版本

監控攝影機型號：
P2、P3、Z7、P6、V1、PD、IPR、LD及LR系列型號

 

處置建議

 
官方已針對漏洞釋出修復更新，請參考官方說明進行更新，網址如下：
https://www.meritlilin.com/security/securityPDFs/M00175%20VULNERABILITY%20DVRCh.pdf
https://www.meritlilin.com/security/securityPDFs/M00176%20VULNERABILITY%20CameraCh.pdf

 

參考資料

 
1. https://nvd.nist.gov/vuln/detail/CVE-2025-59384
2. https://nvd.nist.gov/vuln/detail/CVE-2025-59387
3. https://www.qnap.com/en/security-advisory/qsa-25-54
4. https://www.qnap.com/en/security-advisory/qsa-25-53