918博天堂·(中国区)首页

Vulnerabilidad de seguridad en algunos productos Hikvision Hybrid SAN

Vulnerabilidad de seguridad en algunos productos Hikvision Hybrid SAN/Cluster Storage

N.º SN HSRC-202206-01

Editar: HSRC (centro de respuesta de seguridad de Hikvision):

Fecha de publicación inicial: 2022-06-23

 

Resumen

El módulo web de algunos productos Hikvision Hybrid SAN/Cluster Storage tiene las siguientes vulnerabilidades de seguridad:

1) Debido a una validación de entrada insuficiente, el atacante puede aprovechar la vulnerabilidad para ejecutar comandos restringidos enviando mensajes con comandos maliciosos al dispositivo afectado. 

2) Debido a una validación de entrada insuficiente, el atacante puede aprovechar la vulnerabilidad de un ataque XSS enviando mensajes con comandos maliciosos al dispositivo afectado.

 

CVE ID

CVE-2022-28171

CVE-2022-28172

 

Calificación

Se adopta CVSS v3 en esta calificación de vulnerabilidad. 

(http://www.first.org/cvss/specification-document)

CVE-2022-28171

Calificación básica: 7,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

Calificación temporal: 6,7 (/E:P/RL:O/RC:C)

CVE-2022-28172

Calificación básica: 6,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)

Calificación temporal: 5,9 (E:P/RL:O/RC:C)

 

Versiones afectadas y soluciones

Nombre del producto Versiones afectadas
DS-A71024/48/72R Versiones anteriores a V2.3.8-6 (incluyendo V2.3.8-6)
DS-A80624S
DS-A81016S
DS-A72024/72R
DS-A80316S
DS-A82024D
DS-A71024/48R-CVS Versiones anteriores a V1.1.4 (incluyendo V1.1.4)
DS-A72024/48R-CVS

Condición previa

El atacante tiene acceso de red al dispositivo.

 

Paso del ataque

Enviar un mensaje malicioso especialmente creado.

 

Obtener versiones corregidas

Los usuarios pueden descargar parches/actualizaciones en la página web oficial de Hikvision (Hacer clic aquí) para mitigar estas vulnerabilidades. 

 

Fuente de información de vulnerabilidad:

El investigador de seguridad independiente Thurein Soe informa de esta vulnerabilidad al HSRC.

 

Contáctenos

Para informar sobre problemas de seguridad o vulnerabilidades en los productos y soluciones de Hikvision, póngase en contacto con el Security Response Center de Hikvision escribiendo a hsrc@hrbaojie.com.

 

Hikvision quiere agradecer a todos los investigadores de seguridad que ayudan a identificar y mitigar posibles vulnerabilidades en nuestros productos para asegurarnos de que nuestras soluciones protegen a las personas, los lugares y los activos al tiempo que se protegen los datos. 

 

 

Consulte la Partner Letter para obtener más información >>

Contáctenos
Hik-Partner Pro close
Hik-Partner Pro
Hik-Partner Pro
Scan and download the app
Download
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.