918博天堂·(中国区)首页

Security Vulnerability in Some Hikvision Hybrid SAN/Cluster Storage Products

Notificación de seguridad: vulnerabilidad de seguridad en algunos productos Hybrid SAN/Cluster Storage de Hikvision

SN No. HSRC-202304-01

Edición: Centro de respuesta de seguridad de Hikvision (Hikvision Security Response Center, HSRC)

Fecha de lanzamiento inicial: 2023-04-10

 

Resumen

Algunos productos Hikvision Hybrid SAN/Cluster Storage tienen una vulnerabilidad de control de acceso que se puede utilizar para obtener el permiso de administrador. El atacante puede aprovechar la vulnerabilidad enviando mensajes manipulados a los dispositivos afectados.

Hikvision ha lanzado una versión para corregir la vulnerabilidad.

 

CVE ID

CVE-2023-28808

 

Puntuación

Se adopta CVSS v3 en esta puntuación de vulnerabilidad.

(http://www.first.org/cvss/specification-document)

CVE-2023-28808

Puntuación base: 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)

Puntuación temporal: 8.2 (E:P/RL:O/RC:C).

 

Versiones y arreglos afectados

Nombre del producto Versiones afectadas Descarga del patch Manual del usuario
DS-A71024/48/72R  Versiones por debajo de V2.3.8-8 (incluida V2.3.8-8) Corrección de la vulnerabilidad de seguridad de Hybrid SAN-230407.zip Guía del usuario para reparar la vulnerabilidad de seguridad de Hybrid SAN_230410
DS-A80624S
DS-A81016S
DS-A72024/72R
DS-A80316S
DS-A82024D
DS-A71024/48R-CVS Versiones por debajo de V1.1.4 (incluida V1.1.4) Corrección de la vulnerabilidad de seguridad de Cluster Storage-230407.zip Guía del usuario para reparar la vulnerabilidad de seguridad de Cluster_230410

Condición previa

El atacante tiene acceso a la red del dispositivo.

 

Paso de ataque

Se envía un mensaje malicioso especialmente diseñado.

 

Obtención de versiones correjidas

Los usuarios pueden descargar patches/actualizaciones en el sitio web oficial de Hikvision.

 

Fuente de información de la vulnerabilidad

Souvik Kandar, Arko Dhar del equipo de Redinent Innovations en India, informó a HSRC sobre esta vulnerabilidad, y también queremos agradecer la cooperación del Equipo Nacional de Respuesta a Emergencias Informáticas de India (CERT-In) que se coordinó con nosotros para manejar esta vulnerabilidad.

 

Contáctanos

Para informar cualquier problema de seguridad o vulnerabilidad en los productos y soluciones de Hikvision, comunícate con el Centro de Respuesta de Seguridad de Hikvision en hsrc@hrbaojie.com.

Hikvision quisiera agradecer a todos los investigadores de seguridad por su atención a nuestros productos.

Contáctenos
Hik-Partner Pro close
Hik-Partner Pro
Hik-Partner Pro
Scan and download the app
Descarga
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.