918博天堂·(中国区)首页

    Notificación de seguridad: vulnerabilidad de seguridad en algunos productos Hybrid SAN/Cluster Storage de Hikvision

    Notificación de seguridad: vulnerabilidad de seguridad en algunos productos Hybrid SAN/Cluster Storage de Hikvision


    SN No. HSRC-202304-01

    Edición: Centro de respuesta de seguridad de Hikvision (Hikvision Security Response Center, HSRC)

    Fecha de lanzamiento inicial: 2023-04-10

     

    Resumen

    Algunos productos Hikvision Hybrid SAN/Cluster Storage tienen una vulnerabilidad de control de acceso que se puede utilizar para obtener el permiso de administrador. El atacante puede aprovechar la vulnerabilidad enviando mensajes manipulados a los dispositivos afectados.

    Hikvision ha lanzado una versión para corregir la vulnerabilidad.

     

    CVE ID

    CVE-2023-28808

     

    Puntuación

    Se adopta CVSS v3 en esta puntuación de vulnerabilidad.

    (http://www.first.org/cvss/specification-document)

    CVE-2023-28808

    Puntuación base: 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)

    Puntuación temporal: 8.2 (E:P/RL:O/RC:C).

     

    Versiones y arreglos afectados

    Nombre del producto Versiones afectadas Descarga del patch Manual del usuario
    DS-A71024/48/72R  Versiones por debajo de V2.3.8-8 (incluida V2.3.8-8) Corrección de la vulnerabilidad de seguridad de Hybrid SAN-230407.zip Guía del usuario para reparar la vulnerabilidad de seguridad de Hybrid SAN_230410
    DS-A80624S
    DS-A81016S
    DS-A72024/72R
    DS-A80316S
    DS-A82024D
    DS-A71024/48R-CVS Versiones por debajo de V1.1.4 (incluida V1.1.4) Corrección de la vulnerabilidad de seguridad de Cluster Storage-230407.zip Guía del usuario para reparar la vulnerabilidad de seguridad de Cluster_230410

    Condición previa

    El atacante tiene acceso a la red del dispositivo.

     

    Paso de ataque

    Se envía un mensaje malicioso especialmente diseñado.

     

    Obtención de versiones correjidas

    Los usuarios pueden descargar patches/actualizaciones en el sitio web oficial de Hikvision.

     

    Fuente de información de la vulnerabilidad

    Souvik Kandar, Arko Dhar del equipo de Redinent Innovations en India, informó a HSRC sobre esta vulnerabilidad, y también queremos agradecer la cooperación del Equipo Nacional de Respuesta a Emergencias Informáticas de India (CERT-In) que se coordinó con nosotros para manejar esta vulnerabilidad.

     

    Contáctanos

    Para informar cualquier problema de seguridad o vulnerabilidad en los productos y soluciones de Hikvision, comunícate con el Centro de Respuesta de Seguridad de Hikvision en hsrc@hrbaojie.com.

    Hikvision quisiera agradecer a todos los investigadores de seguridad por su atención a nuestros productos.

    Precondition

    The attacker has network access to the device.

     

    Attack Step

    Send a specially crafted malicious message.

     

    Obtaining Fixed Versions

    Users can download patches/updates on the Hikvision official website.

     

    Source of vulnerability information

    This vulnerability is reported to HSRC by Souvik Kandar, Arko Dhar of the Redinent Innovations team in India, and we also want to acknowledge the cooperation of the National Computer Emergency Response Team of India (CERT-In) who coordinated with us to handle this vulnerability.

     

    Contáctenos

    To report any security issues or vulnerabilities in Hikvision products and solutions, please contact Hikvision Security Response Center at hsrc@hrbaojie.com.

    Hikvision would like to thank all security researchers for your attention to our products.

    Contáctenos
    Hik-Partner Pro close
    Hik-Partner Pro
    Hik-Partner Pro
    Scan and download the app
    Download
    Hik-Partner Pro
    Hik-Partner Pro

    Get a better browsing experience

    You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.