Vulnerabilidad de seguridad en algunos productos Hikvision Hybrid SAN/Cluster Storage
N.º SN HSRC-202206-01
Editar: HSRC (centro de respuesta de seguridad de Hikvision):
Fecha de publicación inicial: 2022-06-23
Resumen
El módulo web de algunos productos Hikvision Hybrid SAN/Cluster Storage tiene las siguientes vulnerabilidades de seguridad:
1) Debido a una validación de entrada insuficiente, el atacante puede aprovechar la vulnerabilidad para ejecutar comandos restringidos enviando mensajes con comandos maliciosos al dispositivo afectado.
2) Debido a una validación de entrada insuficiente, el atacante puede aprovechar la vulnerabilidad de un ataque XSS enviando mensajes con comandos maliciosos al dispositivo afectado.
CVE ID
CVE-2022-28171
CVE-2022-28172
Calificación
Se adopta CVSS v3 en esta calificación de vulnerabilidad.
(http://www.first.org/cvss/specification-document)
CVE-2022-28171
Calificación básica: 7,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
Calificación temporal: 6,7 (/E:P/RL:O/RC:C)
CVE-2022-28172
Calificación básica: 6,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)
Calificación temporal: 5,9 (E:P/RL:O/RC:C)
Versiones afectadas y soluciones
Nombre del producto | Versiones afectadas |
DS-A71024/48/72R | Versiones anteriores a V2.3.8-6 (incluyendo V2.3.8-6) |
DS-A80624S | |
DS-A81016S | |
DS-A72024/72R | |
DS-A80316S | |
DS-A82024D | |
DS-A71024/48R-CVS | Versiones anteriores a V1.1.4 (incluyendo V1.1.4) |
DS-A72024/48R-CVS |
Condición previa
El atacante tiene acceso de red al dispositivo.
Paso del ataque
Enviar un mensaje malicioso especialmente creado.
Obtener versiones corregidas
Los usuarios pueden descargar parches/actualizaciones en la página web oficial de Hikvision (Hacer clic aquí) para mitigar estas vulnerabilidades.
Fuente de información de vulnerabilidad:
El investigador de seguridad independiente Thurein Soe informa de esta vulnerabilidad al HSRC.
Contáctenos
Para informar sobre problemas de seguridad o vulnerabilidades en los productos y soluciones de Hikvision, póngase en contacto con el Security Response Center de Hikvision escribiendo a hsrc@hrbaojie.com.
Hikvision quiere agradecer a todos los investigadores de seguridad que ayudan a identificar y mitigar posibles vulnerabilidades en nuestros productos para asegurarnos de que nuestras soluciones protegen a las personas, los lugares y los activos al tiempo que se protegen los datos.
Descargas
Este sitio web utiliza cookies para almacenar información en su dispositivo. Las cookies ayudan a que nuestro sitio web funcione normalmente y nos muestran cómo podemos mejorar su experiencia de usuario.
Al continuar navegando por el sitio, usted acepta nuestra política de cookies y nuestra política de privacidad.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.