Oficiální sponzor Asijských her v Hangzhou
Zranitelnost zabezpečení v některých produktech Hikvision Hybrid SAN/Cluster Storage
SN č. HSRC-202206-01
Edit: HSRC (centrum bezpečnostní odpovědnosti Hikvision):
Datum prvního vydání: 23.06.2022
Shrnutí
Webový modul v některých produktech Hikvision Hybrid SAN/Cluster Storage obsahuje následující zranitelnosti zabezpečení:
1) Kvůli nedostatečnému ověření vstupu může útočník zneužít zranitelnost ke spuštění omezených příkazů odesláním zpráv se škodlivými příkazy do napadeného zařízení.
2) Kvůli nedostatečnému ověření vstupu může útočník zneužít zranitelnost k útoku XSS odesláním zpráv se škodlivými příkazy do napadeného zařízení.
CVE ID
CVE-2022-28171
CVE-2022-28172
Bodování
V tomto bodování zranitelností je použita verze CVSS v3.
(http://www.first.org/cvss/specification-document)
CVE-2022-28171
Základní skóre: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
Časové skóre: 6.7 (/E:P/RL:O/RC:C)
CVE-2022-28172
Základní skóre: 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)
Časové skóre: 5.9 (E:P/RL:O/RC:C)
Napadené verze a opravy
Název produktu | Napadené verze |
DS-A71024/48/72R | Verze nižší než V2.3.8-6 (včetně V2.3.8-6) |
DS-A80624S | |
DS-A81016S | |
DS-A72024/72R | |
DS-A80316S | |
DS-A82024D | |
DS-A71024/48R-CVS | Verze nižší než V1.1.4 (včetně verze V1.1.4) |
DS-A72024/48R-CVS |
Předpoklad
Útočník má k zařízení síťový přístup.
Krok útoku
Pošlete speciálně vytvořenou škodlivou zprávu.
Získání opravených verzí
Uživatelé si mohou stáhnout záplaty/aktualizace na oficiálních stránkách společnosti Hikvision (klikněte zde), aby tyto zranitelnosti zmírnili.
Kontaktujte nás
Chcete-li nahlásit jakékoli bezpečnostní problémy nebo zranitelnosti v produktech a řešeních společnosti Hikvision, obraťte se na centrum bezpečnostní odpovědnosti Hikvision na adrese hsrc@hrbaojie.com.
Společnost Hikvision by ráda poděkovala všem bezpečnostním výzkumníkům, kteří pomáhají identifikovat a zmírňovat potenciální zranitelnosti v našich produktech, aby zajistili, že naše řešení chrání lidi, místa a majetek a zároveň jsou chráněna data uživatelů.
Podívejte se na dopis pro partnery a získejte více informací >>
Stáhnout
hrbaojie.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics and tailor our website’s content. For more information on cookie practices please refer to our cookie policy.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.