Notificación de seguridad: vulnerabilidad de seguridad en algunos productos de almacenamiento híbrido SAN/Cluster de Hikvision
N.o de serie HSRC-202304-01
Editar: HSRC (centro de respuesta de seguridad de Hikvision):
Fecha de publicación inicial: 2023-04-10
Resumen
Algunos productos Hikvision Hybrid SAN/Cluster Storage tienen una vulnerabilidad de control de acceso que se puede utilizar para obtener el permiso de administrador. El atacante puede explotar la vulnerabilidad enviando mensajes creados a los dispositivos afectados.
Hikvision ha lanzado una versión para corregir la vulnerabilidad.
CVE ID
CVE-2023-28808
Calificación
Se adopta CVSS v3 en esta calificación de vulnerabilidad.
(http://www.first.org/cvss/specification-document)
CVE-2023-28808
Puntuación base: 9,1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)
Calificación temporal: 8.2 (E:P/RL:O/RC:C).
Versiones afectadas y soluciones
Nombre del producto | Versiones afectadas | Descargar el parche | Manual del usuario |
DS-A71024/48/72R | Versiones inferiores a la V2.3.8-8 (incluida la V2.3.8-8) | Solución de la vulnerabilidad de seguridad de SAN-230407.zip híbrido | Guía del usuario para solucionar la vulnerabilidad de seguridad de SAN_230410 híbrido |
DS-A80624S | |||
DS-A81016S | |||
DS-A72024/72R | |||
DS-A80316S | |||
DS-A82024D | |||
DS-A71024/48R-CVS | Versiones anteriores a V1.1.4 (incluyendo V1.1.4) | Corrección de la vulnerabilidad de seguridad del Storage-230407.zip | Guía del usuario para solucionar la vulnerabilidad de seguridad de Cluster_230410 |
Condición previa
El atacante tiene acceso de red al dispositivo.
Paso del ataque
Enviar un mensaje malicioso especialmente creado.
Obtener versiones corregidas
Los usuarios pueden descargar parches/actualizaciones en el sitio web oficial de Hikvision.
Fuente de información de vulnerabilidad
Souvik Kandar, Arko Dhar del equipo Redinent Innovations en India, informa de esta vulnerabilidad al HSRC, y también queremos reconocer la cooperación del Equipo Nacional de Respuesta ante Emergencias Informáticas de la India (CERT-In) que coordinó con nosotros para manejar esta vulnerabilidad.
Contáctenos
Para informar sobre problemas de seguridad o vulnerabilidades en los productos y soluciones de Hikvision, póngase en contacto con el Security Response Center de Hikvision escribiendo a hsrc@hrbaojie.com.
Hikvision desea agradecer a todos los investigadores de seguridad su atención a nuestros productos.
Este sitio web utiliza cookies para almacenar información en su dispositivo. Las cookies ayudan a que nuestro sitio web funcione normalmente y nos muestran cómo podemos mejorar su experiencia de usuario.
Al continuar navegando por el sitio, usted acepta nuestra política de cookies y nuestra política de privacidad.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.