Vulnerabilidade de segurança em alguns produtos de armazenamento de SAN híbrida/Cluster da Hikvision
SN Nº HSRC-202206-01
Editar: Centro de resposta de segurança da Hikvision (HSRC)
Data de divulgação inicial: 23/06/2022
Resumo
O módulo da Web em alguns produtos de armazenamento de SAN híbrida/Cluster da Hikvision apresenta as seguintes vulnerabilidades de segurança:
1) Em virtude de validação de entrada insuficiente, o invasor pode explorar a vulnerabilidade para executar comandos restritos enviando mensagens com comandos mal-intencionados para o dispositivo afetado.
2) Em virtude da validação de entrada insuficiente, o invasor pode explorar a vulnerabilidade ao ataque XSS enviando mensagens com comandos mal-intencionados para o dispositivo afetado.
CVE ID
CVE-2022-28171
CVE-2022-28172
Pontuação
CVSS v3 é adotada nesta pontuação de vulnerabilidade.
(http://www.first.org/cvss/specification-document)
CVE-2022-28171
Pontuação base: 7,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
Pontuação temporal: 6,7 (/E:P/RL:O/RC:C)
CVE-2022-28172
Pontuação base: 6,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)
Pontuação temporal: 5,9 (E:P/RL:O/RC:C)
Versões e correções afetadas
Nome do produto | Versões afetadas |
DS-A71024/48/72R | Versões abaixo de V2.3.8-6 (incluindo V2.3.8-6) |
DS-A80624S | |
DS-A81016S | |
DS-A72024/72R | |
DS-A80316S | |
DS-A82024D | |
DS-A71024/48R-CVS | Versões abaixo de V1.1.4 (incluindo V1.1.4) |
DS-A72024/48R-CVS |
Pré-condição
O invasor tem acesso de rede ao dispositivo.
Etapa de ataque
Envio de uma mensagem mal-intencionada especialmente elaborada.
Obtenção de versões corrigidas
Os usuários podem fazer download de patches/atualizações no site oficial da Hikvision (clique aqui) para mitigar essas vulnerabilidades.
Entre em contato conosco
Para relatar qualquer problema ou vulnerabilidade de segurança em produtos e soluções da Hikvision, entre em contato com o Centro de resposta de segurança da Hikvision pelo e-mail hsrc@hrbaojie.com.
A Hikvision gostaria de agradecer a todos os pesquisadores de segurança que ajudam a identificar e mitigar vulnerabilidades potenciais em nossos produtos para garantir que nossas soluções protejam pessoas, lugares e ativos enquanto os dados do usuário permanecem protegidos.
Download
hrbaojie.com usa cookies estritamente necessários e tecnologias relacionadas para permitir que o site funcione. Com o seu consentimento, também gostaríamos de usar cookies para observar e analisar os níveis de tráfego e outras métricas / mostrar publicidade direcionada / mostrar publicidade com base em sua localização / personalizar o conteúdo do nosso site. Para obter mais informações sobre práticas de cookies, consulte nossa política de cookies.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.