918博天堂·(中国区)首页

Vulnérabilité de sécurité dans certains produits Hikvision

Vulnérabilité de sécurité dans certains produits Hikvision

SN No. HSRC-202311-03

 

Edit :  Centre de réponse de sécurité Hikvision (HSRC)

 

Date de publication initiale: 23/11/2023

 

résumé

Certains produits Hikvision ont été affectés par une vulnérabilité de contournement d'authentification dans le module Hik-Connect, qui pourrait permettre à des attaquants distants de consommer des services en envoyant des messages élaborés aux dispositifs affectés.

 

ID CVE

CVE-2023-48121

 

Notation

La norme CVSS v3.1 est adoptée pour l'évaluation des vulnérabilités.

 

(http://www.first.org/cvss/specification-document)

 

Notation de base : 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)

 

Versions affectées

No

Nom du produit

Versions affectées

1

DS-2CV1xxx

date de construction avant 231108

2

DS-2CV2xxx

date de construction avant231108

3

DS-2CD1xxx

date de construction avant 230614

4

DS-2CD2xx1

DS-2CD2xx3

DS-2CD2xx6

DS-2CD2xx7

date de construction avant 230630
5 DS-2CD2xx2
DS-2CD2xx0

date de construction avant 231110

6

DS-2CD2xxx-W

date de construction avant 230831

7

DS-2CD3xxx

date de construction avant 210429

8

HWI-xxxx

date de construction avant 231108

9

IPC-xxx

date de construction avant 230614

10

DS-2DE4xxx

date de construction avant 230519

11

DS-2DE2Axx

date de construction avant 230612

12

iDS-EXXHUH
DS-EXXHGH
iDS-EXXHQH
DVR-EXXHUH

date de construction avant 230825 

13

iDS-72XXHQH-M(C)
iDS-72XXHUH-M(C)
iDS-72XXHQH-M(E)
iDS-72XXHUH-M(E)
iDS-72XXHTH-M(C)
HW-HWD-72XXMH-G4
HW-HWD-62XXMH-G4
HL-DVR-216Q-K2(E)

date de construction avant 230823

14

DS-71XXHGH-M(C)
DS-72XXHGH-M(C)
DS-71XXHGH-K(S)
DS-72XXHGH-K(S)
HL-DVR-1XXG-K(S)
HL-DVR-2XXG-K(S)
HL-DVR-1XXG-M(C)
HL-DVR-2XXG-M(C)
HW-HWD-51XXH(S)
HW-HWD-51XXH-G
HW-HWD-51XXMH-G
iDS-71xxHQH-M(C)
iDS-71xxHQH-M(E)
iDS-72xxHQH-M/E(C)
iDS-72xxHQH-M/E(E)
HL-DVR-2XXQ-M(C)
HL-DVR-2XXQ-M(E)
HW-HWD-61XXMH-G4
HW-HWD-61XXMH-G4(E)
iDS-71xxHUH-M(C)
iDS-72xxHUH-M/E(C)
iDS-71xxHUH-M(E)
iDS-72xxHUH-M/E(E)
HL-DVR-2XXU-M(C)
HL-DVR-2XXU-M(E)
HW-HWD-71XXMH-G4
HW-HWD-71XXMH-G4(E)

date de construction avant 230913

15

DS-76xxNI-Q1(/xP)(D)
DS-76xxNI-Q2(/xP)(D)
DS-77xxNI-Q4(/xP)(D)
DS-76xxNXI-K1(/xP)(B)
NVR-2xx(M)H(-xP)-C(D)
NVR-1xx(M)H(-xP)-C(D)
HW-HWN-42xx(M)H(-xP)(D)
HW-HWN-41xx(M)H(-xP)(D)

date de construction avant 230620

16

DS-71xxNI-Q1(/xP)(/M)(D)
DS-76xxNI-Q1(C)
DS-76xxNI-Q2(C)
DS-76xxNI-K1(C)
HL-NVR-1xx(M)H-D(D)
HW-HWN-21xx(M)H(-xP)(D)
HW-HWN-41xxMH(C)
HW-HWN-42xxMH(C)
HL-NVR-1xxMH-C(C)
HL-NVR-2xxMH-C(C)

date de construction avant 230707

17

DS-76xxNI-K2
DS-77xxNI-K4

date de construction avant 230712

18

HL-NVR-EXXMH-D/4P(SSD 1T)
HL-NVR-EXXMH-D/4P(SSD 2T)
DS-EXXNI-Q1(SSD 1T)
DS-EXXNI-Q1(SSD 2T)

date de construction avant 230925

 

 

Condition préalable

L'attaquant dispose d'un accès réseau à l'appareil.

 

Étape d'attaque

Envoyer un message malveillant spécialement conçu.

 

Obtenir une version corrigée

Les utilisateurs peuvent télécharger le correctif sur le site officiel de Hikvision.

 

Source des informations sur la vulnérabilité

La vulnérabilité a été signalée à l'équipe de sécurité d'EZVIZ par Joern (@joerngermany).
 

Contactez-nous

Pour signaler tout problème de sécurité ou toute vulnérabilité des produits et solutions Hikvision, veuillez contacter le Hikvision Security Response Center à l'adresse hsrc@hrbaojie.com.

 

Hikvision souhaite remercier tous les chercheurs en sécurité pour l'attention qu'ils portent à ses produits.

 

Cet avis de sécurité est publié et mis à jour en fonction des résultats de l'enquête menée par Hikvision et est susceptible d'être modifié.

 

2023-11-23 V1.0 INITIAL

2023-11-29 V1.1 UPDATED: Versions affectées mises à jour

2023-12-04 V1.2 UPDATED: Versions affectées mises à jour

Contactez-Nous
Hik-Partner Pro close
Hik-Partner Pro
Hik-Partner Pro
Scan and download the app
Download
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.