<tal class="uvhgf"></tal>

918博天堂·(中国区)首页

Zranitelnost zabezpečení v některých produktech řízení přístupu/interkomu společnosti Hikvision

Zranitelnost zabezpečení v některých produktech řízení přístupu/interkomu společnosti Hikvision

SN č. HSRC-202306-01

Edit: HSRC (centrum bezpečnostní odpovědnosti Hikvision):

Datum prvního vydání: 14.06.2023

 

Shrnutí:

Některé produkty společnosti Hikvision pro řízení přístupu/intercomu mají následující bezpečnostní chyby:

(1) Některé produkty pro řízení přístupu jsou zranitelné vůči útoku typu session hijacking, protože produkt neaktualizuje ID relace po úspěšném přihlášení uživatele. Pro zneužití zranitelnosti musí útočníci požádat o ID relace ve stejnou dobu, kdy se přihlašuje platný uživatel, a získat oprávnění k provozu zařízení zfalšováním IP adresy a ID relace ověřeného uživatele.

 

(2) Některé produkty řízení přístupu/interkomu mají zranitelná místa pro neoprávněnou modifikaci síťové konfigurace zařízení. Útočníci mohou změnit konfiguraci sítě zařízení odesláním specifických datových paketů na zranitelné rozhraní v rámci stejné místní sítě.

 

CVE ID:

CVE-2023-28809 

CVE-2023-28810

 

Bodování

V tomto bodování zranitelností je použita verze CVSS v3. 

(http://www.first.org/cvss/specification-document)

CVE-2023-28809

Základní skóre: 7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

Časové skóre: 6.7 (/E:P/RL:O/RC:C)

CVE-2023-28810

Základní skóre: 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

Časové skóre: 3.9 (E:P/RL:O/RC:C)

 

Napadené verze a opravy:

Název produktu Napadené Vuls Napadené verze

DS-K1T804AXX

CVE-2023-28809 & CVE-2023-28810

Verze nižší než V1.4.0_build221212 (včetně V1.4.0_build221212)

DS-K1T341AXX

Verze nižší než V3.2.30_build221223 (včetně V3.2.30_build221223)

DS-K1T671XXX

Verze nižší než V3.2.30_build221223 (včetně V3.2.30_build221223)

DS-K1T343XXX

Verze nižší než V3.14.0_build230117 (včetně V3.14.0_build230117)

DS-K1T341C

Verze nižší než V3.3.8_build230112 (včetně V3.3.8_build230112)

DS-K1T320XXX

Verze nižší než V3.5.0_build220706 (včetně V3.5.0_build220706)

Řada DS-KH63
Řada DS-KH85

CVE-2023-28810

Verze nižší než V2.2.8_build230219 (včetně V2.2.8_build230219)
Řada DS-KH62 Verze nižší než V1.4.62_build220414 (včetně V1.4.62_build220414)

DS-KH9310-WTE1(B)
DS-KH9510-WTE1(B)

Verze nižší než V2.1.76_build230204 (včetně V2.1.76_build230204)

Získání opravených verzí

Uživatelé si zde mohou stáhnout záplaty/aktualizace , které tyto zranitelnosti zmírňují.

 

Zdroj informací o zranitelnosti:

Tyto zranitelnosti nahlásil HSRC Andres Hinnosaar s podporou NATO CCDCOE a Peter Szot ze Skylight Cyber.

 

Kontaktujte nás

Chcete-li nahlásit jakékoli bezpečnostní problémy nebo zranitelnosti v produktech a řešeních společnosti Hikvision, obraťte se na centrum bezpečnostní odpovědnosti Hikvision na adrese hsrc@hrbaojie.com.

 

Společnost Hikvision by ráda poděkovala všem bezpečnostním výzkumníkům, kteří pomáhají identifikovat a zmírňovat potenciální zranitelnosti v našich produktech, aby zajistili, že naše řešení chrání lidi, místa a majetek a zároveň jsou chráněna data uživatelů.

Kontakt
Hik-Partner Pro close
Hik-Partner Pro
Hik-Partner Pro
Scan and download the app
Download
Hik-Partner Pro
Hik-Partner Pro
back to top

Get a better browsing experience

You are using a web browser we don』t support. Please try one of the following options to have a better experience of our web content.

  • browser-chorme
  • browser-edge
  • browser-safari
  • browser-firefox