918博天堂·(中国区)首页

    Notificación de Seguridad - Vulnerabilidad en inyección de comandos en algunos productos Hikvision

    Notificación de seguridad - Vulnerabilidad a la inyección de comandos críticos en algunos productos Hikvision

      SN No.: HSRC-202109-01

      Edición: Hikvision Security Response Center (HSRC)

      Fecha de lanzamiento inicial: 2021-09-19

      Resumen:

      Una vulnerabilidad de inyección de comandos en el servidor web de algún producto de Hikvision. Debido a la insuficiente validación de entrada, el atacante puede aprovechar la vulnerabilidad para lanzar un ataque de inyección de comandos mediante el envío de algunos mensajes con comandos maliciosos.

      CVE ID:

      CVE-2021-36260

      Scoring:

      Se adopta CVSS v3 en esta puntuación de vulnerabilidad(http://www.first.org/cvss/specification-document)

      Puntuación básica: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

      Puntuación temporal: 8.8 (E:P/RL:O/RC:C)

      Versiones afectadas y versión resuelta:

      Información de versiones afectadas y versiones resueltas:

      対象製品

      対象バージョン

      DS-2CD2xx6G2

      DS-2CD2xx6G2(C)

      DS-2CD2xx7G2

      DS-2CD2xx7G2(C)

      Versiones que su construcción fue tiempo antes 210625

      DS-2CD2x21G0

      DS-2CD2x21G0(C)

      DS-2CD2x21G1

      DS-2CD2x21G1(C)

      (i)DS-2DExxxx

      DS-76xxNI-K1xx(C)

      V4.30.210 Construcción201224 - V4.31.000 Construcción210511

      DS-71xxNI-Q1xx(C)

      V4.30.300 Construcción210221 - V4.31.100 Construcción210511

      Condición previa:

      El atacante tiene acceso a la red del dispositivo o el dispositivo tiene una interfaz directa con Internet

      Paso de ataque:

      Envía un mensaje especialmente diseñado.

      Obtención de firmware fijo:

      Los usuarios deben descargar el firmware actualizado para protegerse contra esta posible vulnerabilidad. Está disponible en el sitio web oficial de Hikvision: Descarga de firmware

      Fuente de información de vulnerabilidad:

      Esta vulnerabilidad ha sido informada a HSRC por el investigador de seguridad del Reino Unido, Watchful IP.

      Contáctenos:

      Si tiene un problema o inquietud de seguridad, comuníquese con el Centro de respuesta de seguridad de Hikvision en hsrc@hrbaojie.com

       

      2021-09-19 V1.0 INICIAL

      2021-09-23 V1.1 ACTUALIZADO: Versiones afectadas actualizadas

      2021-09-24 V1.2 ACTUALIZADO: Versiones afectadas actualizadas

      Contáctenos
      Hik-Partner Pro close
      Hik-Partner Pro
      Hik-Partner Pro
      Scan and download the app
      Download
      Hik-Partner Pro
      Hik-Partner Pro
      back to top

      Get a better browsing experience

      You are using a web browser we don』t support. Please try one of the following options to have a better experience of our web content.

      • browser-chorme
      • browser-edge
      • browser-safari
      • browser-firefox