Vulnerabilidad de seguridad en algunos productos de almacenamiento en Hybrid SAN/Clúster de Hikvision
SN No. HSRC-202206-01
Edición: Hikvision Security Response Center (HSRC)
Fecha inicial de lanzamiento: 2022-06-23
Resumen
El módulo web en algunos productos Hikvision Hybrid SAN/Clúster Storage tiene las siguientes vulnerabilidades de seguridad:
1) Debido a la insuficiente validación de entrada, el atacante puede aprovechar la vulnerabilidad para ejecutar comandos restringidos mediante el envío de mensajes con comandos maliciosos al dispositivo afectado.
2) Debido a la insuficiente validación de entrada, el atacante puede aprovechar la vulnerabilidad del ataque XSS enviando mensajes con comandos maliciosos al dispositivo afectado.
CVE ID
CVE-2022-28171
CVE-2022-28172
Puntuación
CVSS v3 es adoptado en esta puntuación de vulnerabilidad.
(http://www.first.org/cvss/specification-document)
CVE-2022-28171
Puntuación básica: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
Puntuación temporal: 6.7 (/E:P/RL:O/RC:C)
CVE-2022-28172
Puntuación básica: 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)
Puntuación temporal: 5.9 (E:P/RL:O/RC:C)
Versiones afectadas y arreglos
Nombre del producto | Versiones afectadas |
DS-A71024/48/72R | Versiones a continuación: V2.3.8-6 (incluida V2.3.8-6) |
DS-A80624S | |
DS-A81016S | |
DS-A72024/72R | |
DS-A80316S | |
DS-A82024D | |
DS-A71024/48R-CVS | Versiones a continuación: V1.1.4 (incluida V1.1.4) |
DS-A72024/48R-CVS |
Condición previa
El atacante tiene acceso a la red del dispositivo.
Paso de ataque
Enviar un mensaje malicioso especialmente diseñado.
Obtención de versiones arregladas
Los usuarios pueden descargar patches/actualizaciones en el sitio web oficial de Hikvision (haga clic aquí) para mitigar estas vulnerabilidades.
Contáctenos
Para informar cualquier problema de seguridad o vulnerabilidad en los productos y soluciones de Hikvision, comuníquese con el Centro de Respuesta de Seguridad de Hikvision en hsrc@hrbaojie.com.
Hikvision desea agradecer a todos los investigadores de seguridad que ayudan a identificar y mitigar las posibles vulnerabilidades en nuestros productos para garantizar que nuestras soluciones protejan a las personas, los lugares y los activos, mientras que los datos de los usuarios están protegidos.
Precondition
The attacker has network access to the device.
Attack Step
Send a specially crafted malicious message.
Obtaining Fixed Versions
Users can download patches/updates on the Hikvision official website (Click here) to mitigate these vulnerabilities.
Source of vulnerability information:
This vulnerability is reported to HSRC by independent security researcher Thurein Soe.
Contáctenos
To report any security issues or vulnerabilities in Hikvision products and solutions, please contact Hikvision Security Response Center at hsrc@hrbaojie.com.
Hikvision would like to thank all the security researchers who help identify and mitigate potential vulnerabilities in our products to ensure that our solutions protect people, places, and assets while user data is safeguarded.
Descargas
hrbaojie.com/mx/ utiliza cookies estrictamente necesarias y tecnologías relacionadas para permitir que el sitio web funcione. Con tu consentimiento, también nos gustaría utilizar cookies para observar y analizar los niveles de tráfico y otras métricas / mostrarte publicidad dirigida / mostrarte publicidad de acuerdo con tu ubicación / adaptar el contenido de nuestro sitio web. Para obtener más información sobre las prácticas de cookies, consulta nuestra política de cookies.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.