918博天堂·(中国区)首页

Vulnerabilidad de seguridad en algunos productos de control de acceso/intercomunicación Hikvision

Vulnerabilidad de seguridad en algunos productos de control de acceso/intercomunicación Hikvision

SN N.o HSRC-202306-01

Editar: HSRC (centro de respuesta de seguridad de Hikvision):

Fecha de publicación inicial: 2023-06-14

 

Resumen:

Algunos de los productos de control de acceso/intercomunicación de Hikvision tienen las siguientes vulnerabilidades de seguridad:

(1) Algunos productos de control de acceso son vulnerables a un ataque de secuestro de sesión porque el producto no actualiza el ID de sesión después de que un usuario inicia sesión correctamente. Para explotar la vulnerabilidad, los atacantes tienen que solicitar el ID de sesión al mismo tiempo que un usuario válido inicia sesión y obtener permisos de operación del dispositivo falsificando la IP y el ID de sesión de un usuario autenticado.

 

(2) Algunos productos de control de acceso/intercomunicación tienen modificaciones no autorizadas de las vulnerabilidades de configuración de la red del dispositivo. Los atacantes pueden modificar la configuración de la red del dispositivo enviando paquetes de datos específicos a la interfaz vulnerable dentro de la misma red local.

 

ID CVE:

CVE-2023-28809 

CVE-2023-28810

 

Calificación

Se adopta CVSS v3 en esta calificación de vulnerabilidad. 

(http://www.first.org/cvss/specification-document)

CVE-2023-28809

Calificación básica: 7,5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

Calificación temporal: 6,7 (/E:P/RL:O/RC:C)

CVE-2023-28810

Calificación básica: 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

Calificación temporal: 3.9 (E:P/RL:O/RC:C)

 

Versiones y correcciones afectadas:

Nombre del producto Vuls afectados Versiones afectadas

DS-K1T804AXX

CVE-2023-28809 Y CVE-2023-28810

Versiones inferiores a V1.4.0_build221212 (incluida V1.4.0_build221212)

DS-K1T341AXX

Versiones por debajo de V3.2.30_build221223 (incluido V3.2.30_build221223)

DS-K1T671XXX

Versiones por debajo de V3.2.30_build221223 (incluido V3.2.30_build221223)

DS-K1T343XXX

Versiones inferiores a V3.14.0_build230117 (incluida V3.14.0_build230117)

DS-K1T341C

Versiones inferiores a V3.3.8_build230112 (incluida V3.3.8_build230112)

DS-K1T320XXX

Versiones inferiores a V3.5.0_build220706 (incluida V3.5.0_build220706)

Serie DS-KH63
Serie DS-KH85

CVE-2023-28810

Versiones inferiores a V2.2.8_build230219 (incluida V2.2.8_build230219)

Serie DS-KH62 Versiones inferiores a V1.4.62_build220414 (incluido V1.4.62_build220414)

DS-KH9310-WTE1(B)
DS-KH9510-WTE1(B)

Versiones inferiores a V2.1.76_build230204 (incluido V2.1.76_build230204)

Obtener versiones corregidas

Los usuarios pueden descargar parches/actualizaciones aquí  para mitigar estas vulnerabilidades.

 

Fuente de información de vulnerabilidad:

Estas vulnerabilidades fueron notificadas al HSRC por Andres Hinnosaar con el apoyo de CCDCOE de la OTAN y Peter Szot de Skylight Cyber.

 

Contáctenos

Para informar sobre problemas de seguridad o vulnerabilidades en los productos y soluciones de Hikvision, póngase en contacto con el Security Response Center de Hikvision escribiendo a hsrc@hrbaojie.com.

 

Hikvision quiere agradecer a todos los investigadores de seguridad que ayudan a identificar y mitigar posibles vulnerabilidades en nuestros productos para asegurarnos de que nuestras soluciones protegen a las personas, los lugares y los activos al tiempo que se protegen los datos.

Contáctenos
Hik-Partner Pro close
Hik-Partner Pro
Hik-Partner Pro
Scan and download the app
Download
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.