• 918博天堂·(中国区)首页

    Vulnerabilidad de seguridad en algunos productos de almacenamiento en Hybrid SAN/Clúster de Hikvision

    Vulnerabilidad de seguridad en algunos productos de almacenamiento en Hybrid SAN/Clúster de Hikvision

    SN No. HSRC-202206-01

    Edición: Hikvision Security Response Center (HSRC)

    Fecha inicial de lanzamiento: 2022-06-23

     

    Resumen

    El módulo web en algunos productos Hikvision Hybrid SAN/Clúster Storage tiene las siguientes vulnerabilidades de seguridad:

    1) Debido a la insuficiente validación de entrada, el atacante puede aprovechar la vulnerabilidad para ejecutar comandos restringidos mediante el envío de mensajes con comandos maliciosos al dispositivo afectado. 

    2) Debido a la insuficiente validación de entrada, el atacante puede aprovechar la vulnerabilidad del ataque XSS enviando mensajes con comandos maliciosos al dispositivo afectado.

     

    CVE ID

    CVE-2022-28171

    CVE-2022-28172

     

    Puntuación

    CVSS v3 es adoptado en esta puntuación de vulnerabilidad. 

    (http://www.first.org/cvss/specification-document)

    CVE-2022-28171

    Puntuación básica: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

    Puntuación temporal: 6.7 (/E:P/RL:O/RC:C)

    CVE-2022-28172

    Puntuación básica: 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)

    Puntuación temporal: 5.9 (E:P/RL:O/RC:C)

     

     

    Versiones afectadas y arreglos

     

    Nombre del producto Versiones afectadas
    DS-A71024/48/72R

    Versiones a continuación:

    V2.3.8-6 (incluida V2.3.8-6)

    DS-A80624S
    DS-A81016S
    DS-A72024/72R
    DS-A80316S
    DS-A82024D
    DS-A71024/48R-CVS

    Versiones a continuación:

    V1.1.4 (incluida V1.1.4)

    DS-A72024/48R-CVS

    Condición previa

    El atacante tiene acceso a la red del dispositivo.

     

    Paso de ataque

    Enviar un mensaje malicioso especialmente diseñado.

     

    Obtención de versiones arregladas

    Los usuarios pueden descargar patches/actualizaciones en el sitio web oficial de Hikvision (haga clic aquí) para mitigar estas vulnerabilidades. 

     

    Contáctenos

    Para informar cualquier problema de seguridad o vulnerabilidad en los productos y soluciones de Hikvision, comuníquese con el Centro de Respuesta de Seguridad de Hikvision en hsrc@hrbaojie.com.

     

    Hikvision desea agradecer a todos los investigadores de seguridad que ayudan a identificar y mitigar las posibles vulnerabilidades en nuestros productos para garantizar que nuestras soluciones protejan a las personas, los lugares y los activos, mientras que los datos de los usuarios están protegidos. 

     

     

    Consulte la carta a socios para obtener más información >>

    Contáctenos
    Hik-Partner Pro close
    Hik-Partner Pro
    Hik-Partner Pro
    Scan and download the app
    Download
    Hik-Partner Pro
    Hik-Partner Pro

    Get a better browsing experience

    You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.