Vulnerabilities ›

CVE-2026-0854

High

Merit LILIN DVR/NVR OS Command Injection Vulnerability (CVE-2026-0854)

CWE-78 — Weakness Type

                    Published: Jan 12, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

Certain DVR/NVR models developed by Merit LILIN has a OS Command Injection vulnerability, allowing authenticated remote attackers to inject arbitrary OS commands and execute them on the device.

🤖 AI Executive Summary

Merit LILIN DVR/NVR devices contain an OS command injection vulnerability that allows authenticated remote attackers to execute arbitrary commands on affected systems. This vulnerability poses a significant risk to surveillance infrastructure security in organizations relying on these devices.

📄 Description (Arabic)

ثغرة حقن أوامر نظام التشغيل في أجهزة Merit LILIN DVR/NVR تسمح للمهاجمين المصرح لهم بتنفيذ أوامر تعسفية على الجهاز. يمكن للمهاجم استغلال هذه الثغرة للحصول على تحكم كامل بنظام المراقبة والبيانات المخزنة عليه. هذا يشكل تهديداً مباشراً لسلامة البنية التحتية الحرجة والخصوصية في المنظمات السعودية.

🤖 ملخص تنفيذي (AI)

أجهزة Merit LILIN DVR/NVR تحتوي على ثغرة حقن أوامر نظام التشغيل تسمح للمهاجمين البعيدين المصرح لهم بتنفيذ أوامر تعسفية على الأنظمة المتأثرة. تشكل هذه الثغرة خطراً كبيراً على أمان البنية التحتية للمراقبة في المنظمات التي تعتمد على هذه الأجهزة.

🤖 AI Intelligence Analysis Analyzed: May 1, 2026 06:48

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking energy healthcare telecom

🎯 MITRE ATT&CK Techniques

T1059.004 T1190 T1133 T1078.001

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update Merit LILIN DVR/NVR devices to the latest patched firmware version immediately. Implement network segmentation to restrict access to DVR/NVR management interfaces. Enforce strong authentication credentials and disable default accounts. Monitor device logs for suspicious command execution patterns. Apply principle of least privilege for user accounts accessing these systems.

🔧 خطوات المعالجة (العربية)

قم بتحديث أجهزة Merit LILIN DVR/NVR إلى أحدث إصدار من البرامج الثابتة المصححة فوراً. قم بتطبيق تقسيم الشبكة لتقييد الوصول إلى واجهات إدارة DVR/NVR. فرض بيانات اعتماد مصادقة قوية وتعطيل الحسابات الافتراضية. مراقبة سجلات الجهاز للأنماط المريبة في تنفيذ الأوامر. تطبيق مبدأ أقل امتياز للحسابات التي تصل إلى هذه الأنظمة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2 5.3 6.1

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-4 DE.CM-1

🟡 ISO 27001:2022

A.5.1.1 A.6.1.1 A.6.2.1 A.9.2.1 A.9.4.3

🔗 References & Sources 2

🔗

https://www.twcert.org.tw/en/cp-139-10623-4f523-2.html

twcert@cert.org.tw

🔗

https://www.twcert.org.tw/tw/cp-132-10624-6599c-1.html

twcert@cert.org.tw

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-78

EPSS0.36%

Exploit No

Patch ✓ Yes

Published 2026-01-12

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-78

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-0854

💬 Comments

Introduce Yourself

Sign In Required