918博天堂·(中国区)首页

Vulnérabilités de sécurité dans les dispositifs NVR de Hikvision

Vulnérabilités de sécurité dans les dispositifs NVR de Hikvision

SN No. HSRC-202404-01

Editeur :HSRC (Centre de réponse de sécurité Hikvision) :

Date de sortie initiale 2024-04-02

 

Résumé :

1. Il existe une vulnérabilité de déréférencement de pointeur NULL dans certains NVR Hikvision. En raison d'une validation insuffisante d'un paramètre dans un message, un attaquant peut envoyer des messages spécialement conçus à un produit affecté, provoquant une anomalie de processus. 

2.  Certains NVR Hikvision présentent une vulnérabilité de lecture hors limites. Un attaquant authentifié pourrait exploiter cette vulnérabilité en envoyant des messages spécialement conçus à un dispositif vulnérable, ce qui provoquerait une anomalie de service.

3. Il existe une vulnérabilité d'injection de commande dans certains NVR Hikvision. Cette vulnérabilité pourrait permettre à un utilisateur authentifié disposant de droits d'administration d'exécuter des commandes arbitraires.

Hikvision recommande aux utilisateurs de définir des mots de passe complexes pour les appareils afin d'atténuer la possibilité d'exploitation des vulnérabilités susmentionnées.

 

ID CVE

CVE-2024-29947 

CVE-2024-29948

CVE-2024-29949

 

Notation  :

CVSS v3.1 est adoptée pour évaluer ces vulnérabilités

(http://www.first.org/cvss/specification-document)

CVE-2024-29947 

Notation de base : 2.7 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L)

CVE-2024-29948

Notation de base : 3.8 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:L) 

CVE-2024-29949

Notation de base : 7.2 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

 

Versions concernées et corrections:

Nom du produit

Affecté par

Versions affectées

DS-7604NI-K1 / 4P(B)

 

CVE-2024-29947 &

CVE-2024-29949

 

V4.30.096 build221220 et les versions antérieures

DS-7604NXI-K1/4P

 

CVE-2024-29948

 

V4.76.005 build231012 et les versions antérieures

DS-76xxNI-Mx

DS-77xxNI-Mx

DS-96xxxNI-Mxx

 

DS-76xxNXI-Ix

DS-77xxNXI-Ix

DS-86xxNXI-Ix

DS-96xxNXI-Ix

 

iDS-76xxNXI-Mx

iDS-77xxNXI-Mx

iDS-96xxxMXI-Mxx

 

 

 

 

 

 

 

 

 

CVE-2024-29949

Versions après V5.00.000 (y compris V5.00.000) et avant V5.02.006(not including V5.02.006)

 

DS-7604NI-M1/4P

 

Versions postérieures à V5.00.000 (y compris V5.00.000) et antérieures à V5.01.070(not including V5.01.070)

 

Obtenir des versions corrigées

Les utilisateurs peuvent télécharger les correctifs/mises à jour sur le site officiel de Hikvision 

 

Source d'informations sur la vulnérabilité

Ces vulnérabilités ont été signalées au HSRC par Team.ENVY (KITRI BoB 12th).

 

Contactez-nous

Pour signaler tout problème de sécurité ou toute vulnérabilité dans les produits et solutions Hikvision, veuillez contacter le Hikvision Security Response Center à l'adresse hsrc@hrbaojie.com.

Hikvision souhaite remercier tous les chercheurs en sécurité pour l'attention qu'ils portent à ses produits.

Cet avis de sécurité est publié et mis à jour en fonction des résultats de l'enquête menée par Hikvision et est susceptible d'être modifié. 

Contactez-Nous
Hik-Partner Pro close
Hik-Partner Pro
Hik-Partner Pro
Scan and download the app
Download
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.