Vulnerabilidad de seguridad en algunos productos de almacenamiento en Hybrid SAN/Clúster de Hikvision
SN No. HSRC-202206-01
Edición: Hikvision Security Response Center (HSRC)
Fecha inicial de lanzamiento: 2022-06-23
Resumen
El módulo web en algunos productos Hikvision Hybrid SAN/Clúster Storage tiene las siguientes vulnerabilidades de seguridad:
1) Debido a la insuficiente validación de entrada, el atacante puede aprovechar la vulnerabilidad para ejecutar comandos restringidos mediante el envío de mensajes con comandos maliciosos al dispositivo afectado.
2) Debido a la insuficiente validación de entrada, el atacante puede aprovechar la vulnerabilidad del ataque XSS enviando mensajes con comandos maliciosos al dispositivo afectado.
CVE ID
CVE-2022-28171
CVE-2022-28172
Puntuación
CVSS v3 es adoptado en esta puntuación de vulnerabilidad.
(http://www.first.org/cvss/specification-document)
CVE-2022-28171
Puntuación básica: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
Puntuación temporal: 6.7 (/E:P/RL:O/RC:C)
CVE-2022-28172
Puntuación básica: 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)
Puntuación temporal: 5.9 (E:P/RL:O/RC:C)
Versiones afectadas y arreglos
Nombre del producto | Versiones afectadas |
DS-A71024/48/72R | Versiones a continuación: V2.3.8-6 (incluida V2.3.8-6) |
DS-A80624S | |
DS-A81016S | |
DS-A72024/72R | |
DS-A80316S | |
DS-A82024D | |
DS-A71024/48R-CVS | Versiones a continuación: V1.1.4 (incluida V1.1.4) |
DS-A72024/48R-CVS |
Condición previa
El atacante tiene acceso a la red del dispositivo.
Paso de ataque
Enviar un mensaje malicioso especialmente diseñado.
Obtención de versiones arregladas
Los usuarios pueden descargar patches/actualizaciones en el sitio web oficial de Hikvision (haga clic aquí) para mitigar estas vulnerabilidades.
Contáctenos
Para informar cualquier problema de seguridad o vulnerabilidad en los productos y soluciones de Hikvision, comuníquese con el Centro de Respuesta de Seguridad de Hikvision en hsrc@hrbaojie.com.
Hikvision desea agradecer a todos los investigadores de seguridad que ayudan a identificar y mitigar las posibles vulnerabilidades en nuestros productos para garantizar que nuestras soluciones protejan a las personas, los lugares y los activos, mientras que los datos de los usuarios están protegidos.
Descargas
hrbaojie.com/es-co/ utiliza cookies estrictamente necesarias y tecnologías relacionadas para permitir que el sitio web funcione. Con tu consentimiento, también nos gustaría utilizar cookies para observar y analizar los niveles de tráfico y otras métricas / mostrarte publicidad dirigida / mostrarte publicidad de acuerdo con tu ubicación / adaptar el contenido de nuestro sitio web. Para obtener más información sobre las prácticas de cookies, consulta nuestra política de cookies.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.