• 918博天堂·(中国区)首页

    Zranitelnost zabezpečení v některých produktech řízení přístupu/interkomu společnosti Hikvision

    Zranitelnost zabezpečení v některých produktech řízení přístupu/interkomu společnosti Hikvision

    SN č. HSRC-202306-01

    Edit: HSRC (centrum bezpečnostní odpovědnosti Hikvision):

    Datum prvního vydání: 14.06.2023

     

    Shrnutí:

    Některé produkty společnosti Hikvision pro řízení přístupu/intercomu mají následující bezpečnostní chyby:

    (1) Některé produkty pro řízení přístupu jsou zranitelné vůči útoku typu session hijacking, protože produkt neaktualizuje ID relace po úspěšném přihlášení uživatele. Pro zneužití zranitelnosti musí útočníci požádat o ID relace ve stejnou dobu, kdy se přihlašuje platný uživatel, a získat oprávnění k provozu zařízení zfalšováním IP adresy a ID relace ověřeného uživatele.

     

    (2) Některé produkty řízení přístupu/interkomu mají zranitelná místa pro neoprávněnou modifikaci síťové konfigurace zařízení. Útočníci mohou změnit konfiguraci sítě zařízení odesláním specifických datových paketů na zranitelné rozhraní v rámci stejné místní sítě.

     

    CVE ID:

    CVE-2023-28809 

    CVE-2023-28810

     

    Bodování

    V tomto bodování zranitelností je použita verze CVSS v3. 

    (http://www.first.org/cvss/specification-document)

    CVE-2023-28809

    Základní skóre: 7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

    Časové skóre: 6.7 (/E:P/RL:O/RC:C)

    CVE-2023-28810

    Základní skóre: 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

    Časové skóre: 3.9 (E:P/RL:O/RC:C)

     

    Napadené verze a opravy:

    Název produktu Napadené Vuls Napadené verze

    DS-K1T804AXX

    CVE-2023-28809 & CVE-2023-28810

    Verze nižší než V1.4.0_build221212 (včetně V1.4.0_build221212)

    DS-K1T341AXX

    Verze nižší než V3.2.30_build221223 (včetně V3.2.30_build221223)

    DS-K1T671XXX

    Verze nižší než V3.2.30_build221223 (včetně V3.2.30_build221223)

    DS-K1T343XXX

    Verze nižší než V3.14.0_build230117 (včetně V3.14.0_build230117)

    DS-K1T341C

    Verze nižší než V3.3.8_build230112 (včetně V3.3.8_build230112)

    DS-K1T320XXX

    Verze nižší než V3.5.0_build220706 (včetně V3.5.0_build220706)

    Řada DS-KH63
    Řada DS-KH85

    CVE-2023-28810

    Verze nižší než V2.2.8_build230219 (včetně V2.2.8_build230219)

    Řada DS-KH62 Verze nižší než V1.4.62_build220414 (včetně V1.4.62_build220414)

    DS-KH9310-WTE1(B)
    DS-KH9510-WTE1(B)

    Verze nižší než V2.1.76_build230204 (včetně V2.1.76_build230204)

    Získání opravených verzí

    Uživatelé si zde mohou stáhnout záplaty/aktualizace , které tyto zranitelnosti zmírňují.

     

    Zdroj informací o zranitelnosti:

    Tyto zranitelnosti nahlásil HSRC Andres Hinnosaar s podporou NATO CCDCOE a Peter Szot ze Skylight Cyber.

     

    Kontaktujte nás

    Chcete-li nahlásit jakékoli bezpečnostní problémy nebo zranitelnosti v produktech a řešeních společnosti Hikvision, obraťte se na centrum bezpečnostní odpovědnosti Hikvision na adrese hsrc@hrbaojie.com.

     

    Společnost Hikvision by ráda poděkovala všem bezpečnostním výzkumníkům, kteří pomáhají identifikovat a zmírňovat potenciální zranitelnosti v našich produktech, aby zajistili, že naše řešení chrání lidi, místa a majetek a zároveň jsou chráněna data uživatelů.

    Kontakt
    Hik-Partner Pro close
    Hik-Partner Pro
    Hik-Partner Pro
    Scan and download the app
    Download
    Hik-Partner Pro
    Hik-Partner Pro

    Get a better browsing experience

    You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.