• 918博天堂·(中国区)首页

    Commercial Display

    Security Vulnerability in Some Hikvision Access Control/Intercom Products

    Security Vulnerability in Some Hikvision Access Control/Intercom Products

    SN No. HSRC-202306-01

    Bearbeiten: Hikvision Security Response Center (HSRC)

    Datum der Erstveröffentlichung: 2023-06-14

     

    Zusammenfassung:

    Some of Hikvision's access control/intercom products have the following security vulnerabilities:

    (1) Some access control products are vulnerable to a session hijacking attack because the product does not update the session ID after a user successfully logs in. To exploit the vulnerability, attackers have to request the session ID at the same time as a valid user logs in, and gain device operation permissions by forging the IP and session ID of an authenticated user.

     

    (2) Some access control/intercom products have unauthorized modification of device network configuration vulnerabilities. Attackers can modify device network configuration by sending specific data packets to the vulnerable interface within the same local network.

     

    CVE ID:

    CVE-2023-28809 

    CVE-2023-28810

     

    Bewertung

    Die Bewertung der Schwachstellen erfolgt nach CVSS v3. 

    (http://www.first.org/cvss/specification-document)

    CVE-2023-28809

    Basisbewertung: 7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

    Temporäre Bewertung: 6.7 (/E:P/RL:O/RC:C)

    CVE-2023-28810

    Basisbewertung: 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

    Temporäre Bewertung: 3.9 (E:P/RL:O/RC:C)

     

    Affected Versions and Fixes:

    Produktname Affected Vuls Betroffene Versionen

    DS-K1T804AXX

    CVE-2023-28809 & CVE-2023-28810

    Versions below V1.4.0_build221212 (including V1.4.0_build221212)

    DS-K1T341AXX

    Versions below V3.2.30_build221223 (including V3.2.30_build221223)

    DS-K1T671XXX

    Versions below V3.2.30_build221223 (including V3.2.30_build221223)

    DS-K1T343XXX

    Versions below V3.14.0_build230117 (including V3.14.0_build230117)

    DS-K1T341C

    Versions below V3.3.8_build230112 (including V3.3.8_build230112)

    DS-K1T320XXX

    Versions below V3.5.0_build220706 (including V3.5.0_build220706)

    DS-KH63 Series
    DS-KH85 Series

    CVE-2023-28810

    Versions below V2.2.8_build230219 (including V2.2.8_build230219)
    DS-KH62 Series Versions below V1.4.62_build220414 (including V1.4.62_build220414)

    DS-KH9310-WTE1(B)
    DS-KH9510-WTE1(B)

    Versions below V2.1.76_build230204 (including V2.1.76_build230204)

    Aktuelle Versionen beziehen

    Benutzer können hier Patches/Aktualisierungen herunterladen, um diese Schwachstellen zu beheben.

     

    Quelle der Informationen zur Schwachstelle:

    Diese Schwachstellen wurden dem HSRC von Andres Hinnosaar mit Unterstützung des NATO CCDCOE und Peter Szot von Skylight Cyber gemeldet.

     

    Kontaktieren Sie uns

    Wenn Sie Sicherheitsprobleme oder Schwachstellen in Produkten und Lösungen von Hikvision melden möchten, wenden Sie sich bitte an das Hikvision Security Response Center unter hsrc@hrbaojie.com.

     

    Hikvision möchte sich bei allen Sicherheitsexperten bedanken, die dazu beitragen, potenzielle Schwachstellen in unseren Produkten zu identifizieren und zu beheben. Dadurch stellen sie sicher, dass unsere Lösungen Menschen, Orte und Werte schützen und die Daten der Benutzer vertraulich bleiben.

    Vertrieb
    Newsletter Anmeldung
    Chatbot
    Bezugsquellen
    Website Feedback
    Website Feedback
    Kontakt
    Hik-Partner Pro close
    Hik-Partner Pro
    Hik-Partner Pro
    Scan and download the app
    Download
    Hik-Partner Pro
    Hik-Partner Pro

    Get a better browsing experience

    You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.