918博天堂·(中国区)首页

Vulnerabilidad de seguridad en algunos productos Hikvision

Vulnerabilidad de seguridad en algunos productos Hikvision

N.o de serie  HSRC-202311-03

 

Editar:Centro de respuesta de seguridad de  IHG (HSRC)

 

Fecha de lanzamiento inicial: 2023-11-23

 

Resumen

Algunos productos de Hikvision se han visto afectados por una vulnerabilidad de bypass de autenticación en el módulo Hik-Connect, lo que podría permitir a los atacantes remotos consumir servicios enviando mensajes creados a los dispositivos afectados.

 

CVE ID

CVE-2023-48121

 

Calificación

CVSS v3.1 se adopta en esta puntuación de vulnerabilidad.

 

(http://www.first.org/cvss/specification-document)

 

Calificación básica: 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)

 

Versiones afectadas

No

Nombre del producto

Versiones afectadas

1

DS-2CV1xxx

fecha de compilación anterior a 231108

2

DS-2CV2xxx

fecha de compilación anterior a 231108

3

DS-2CD1xxx

fecha de compilación anterior a 230614

4

DS-2CD2xx1

DS-2CD2xx3

DS-2CD2xx6

DS-2CD2xx7

fecha de compilación anterior al 230630
5 DS-2CD2xx2
DS-2CD2xx0

fecha de compilación anterior al 231110

6

DS-2CD2xxx-W

fecha de compilación anterior a 230831

7

DS-2CD3xxx

fecha de compilación anterior a 210429

8

HWI-xxxx

fecha de compilación anterior a 231108

9

IPC-xxx

fecha de compilación anterior a 230614

10

DS-2DE4xxx

fecha de compilación anterior a 230519

11

DS-2DE2Axx

fecha de compilación anterior a 230612

12

iDS-EXXHUH
DS-EXXHGH
iDS-EXXHQH
DVR-EXXHUH

fecha de compilación anterior a 230825 

13

iDS-72XXHQH-M(C)
iDS-72XXHUH-M(C)
iDS-72XXHQH-M(E)
iDS-72XXHUH-M(E)
iDS-72XXHTH-M(C)
HW-HWD-72XXMH-G4
HW-HWD-62XXMH-G4
HL-DVR-216Q-K2(E)

fecha de compilación anterior a 230823

14

DS-71XXHGH-M(C)
DS-72XXHGH-M(C)
DS-71XXHGH-K(S)
DS-72XXHGH-K(S)
HL-DVR-1XXG-K(S)
HL-DVR-2XXG-K(S)
HL-DVR-1XXG-M(C)
HL-DVR-2XXG-M(C)
HW-HWD-51XXH(S)
HW-HWD-51XXH-G
HW-HWD-51XXMH-G
iDS-71xxHQH-M(C)
iDS-71xxHQH-M(E)
iDS-72xxHQH-M/E(C)
iDS-72xxHQH-M/E(E)
HL-DVR-2XXQ-M(C)
HL-DVR-2XXQ-M(E)
HW-HWD-61XXMH-G4
HW-HWD-61XXMH-G4(E)
iDS-71xxHUH-M(C)
iDS-72xxHUH-M/E(C)
iDS-71xxHUH-M(E)
iDS-72xxHUH-M/E(E)
HL-DVR-2XXU-M(C)
HL-DVR-2XXU-M(E)
HW-HWD-71XXMH-G4
HW-HWD-71XXMH-G4(E)

fecha de compilación anterior a 230913

15

DS-76xxNI-Q1(/xP)(D)
DS-76xxNI-Q2(/xP)(D)
DS-77xxNI-Q4(/xP)(D)
DS-76xxNXI-K1(/xP)(B)
NVR-2xx(M)H(-xP)-C(D)
NVR-1xx(M)H(-xP)-C(D)
HW-HWN-42xx(M)H(-xP)(D)
HW-HWN-41xx(M)H(-xP)(D)

fecha de compilación anterior a 230620

16

DS-71xxNI-Q1(/xP)(/M)(D)
DS-76xxNI-Q1(C)
DS-76xxNI-Q2(C)
DS-76xxNI-K1(C)
HL-NVR-1xx(M)H-D(D)
HW-HWN-21xx(M)H(-xP)(D)
HW-HWN-41xxMH(C)
HW-HWN-42xxMH(C)
HL-NVR-1xxMH-C(C)
HL-NVR-2xxMH-C(C)

fecha de compilación anterior a 230707

17

DS-76xxNI-K2
DS-77xxNI-K4

fecha de compilación anterior a 230712

18

HL-NVR-EXXMH-D/4P(SSD 1T)
HL-NVR-EXXMH-D/4P(SSD 2T)
DS-EXXNI-Q1(SSD 1T)
DS-EXXNI-Q1(SSD 2T)

fecha de compilación anterior a 230925

 

 

Condición previa

El atacante tiene acceso de red al dispositivo.

 

Paso del ataque

Enviar un mensaje malicioso especialmente creado.

 

Obtención de la versión fija

Los usuarios pueden descargar el parche  en el sitio web oficial de Hikvision.

 

Fuente de información sobre vulnerabilidades

Joern (@joerngermany) informó de la vulnerabilidad al equipo de seguridad de EZVIZ.

 

Contáctenos

Para informar de cualquier problema o vulnerabilidad de seguridad en los productos y soluciones de Hikvision, póngase en contacto con el Centro de respuesta de seguridad de Hikvision en  hsrc@hrbaojie.com.

 

Hikvision desea agradecer a todos los investigadores de seguridad su atención a nuestros productos.

 

Este Aviso de seguridad se publica y actualiza en función de los resultados actuales de la investigación de Hikvision y está sujeto a cambios. 

 

2023-11-23 V1.0 INICIAL

2023-11-29 V1.1 ACTUALIZADO: Versiones afectadas actualizadas

2023-12-04 V1.2 ACTUALIZADO: Versiones afectadas actualizadas

Contáctenos
Hik-Partner Pro close
Hik-Partner Pro
Hik-Partner Pro
Scan and download the app
Download
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.