918博天堂·(中国区)首页

Vulnerabilidades de segurança nos dispositivos NVR da Hikvision

Vulnerabilidades de segurança nos dispositivos NVR da Hikvision

N.º SN HSRC-202404-01

Edição: Centro de Resposta à Segurança da Hikvision (HSRC)

Data de publicação original: 2024-04-02

 

Resumo:

1. Existe uma vulnerabilidade de dereferência de ponteiro NULL em alguns NVRs da Hikvision. Devido a uma validação insuficiente de um parâmetro numa mensagem, um atacante pode enviar mensagens especialmente criadas para um produto afetado, causando uma anomalia no processo. 

2.  Existe uma vulnerabilidade de leitura fora dos limites em alguns NVRs da Hikvision. Um atacante autenticado pode explorar esta vulnerabilidade enviando mensagens especialmente concebidas para um dispositivo vulnerável, causando uma anomalia no serviço.

3. Existe uma vulnerabilidade de injeção de comandos em alguns NVRs da Hikvision. Isto poderia permitir que um utilizador autenticado com direitos administrativos executasse comandos arbitrários.

A Hikvision recomenda que os utilizadores definam palavras-passe complexas para os dispositivos, de modo a reduzir a possibilidade de exploração das vulnerabilidades acima referidas.

 

ID CVE:

CVE-2024-29947 

CVE-2024-29948

CVE-2024-29949

 

Pontuação:

O CVSS v3.1 é adotado para classificar estas vulnerabilidades

(http://www.first.org/cvss/specification-document)

CVE-2024-29947 

Pontuação base: 2.7 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L)

CVE-2024-29948

Pontuação base: 3.8 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:L) 

CVE-2024-29949

Pontuação base: 7.2 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

 

Versões afectadas e correcções:

Nome do produto

Afetado por

Versões afetadas

DS-7604NI-K1 / 4P(B)

 

CVE-2024-29947 &

CVE-2024-29949

 

V4.30.096 build221220 e as versões anteriores a ela

DS-7604NXI-K1/4P

 

CVE-2024-29948

 

V4.76.005 build231012 e as versões anteriores a ela

DS-76xxNI-Mx

DS-77xxNI-Mx

DS-96xxxNI-Mxx

 

DS-76xxNXI-Ix

DS-77xxNXI-Ix

DS-86xxNXI-Ix

DS-96xxNXI-Ix

 

iDS-76xxNXI-Mx

iDS-77xxNXI-Mx

iDS-96xxxMXI-Mxx

 

 

 

 

 

 

 

 

 

CVE-2024-29949

Versões posteriores à V5.00.000 (incluindo a V5.00.000) e anteriores à V5.02.006(não incluindo a V5.02.006)

 

DS-7604NI-M1/4P

 

Versões posteriores à V5.00.000 (incluindo a V5.00.000) e anteriores à V5.01.070(não incluindo a V5.01.070)

 

Obtenção de versões fixas

Os utilizadores podem transferir patches/atualizações no sítio Web oficial da Hikvision

 

Fonte de informação sobre a vulnerabilidade

Estas vulnerabilidades foram comunicadas ao HSRC pela Team.ENVY (KITRI BoB 12th).

 

Contacte-nos

Para comunicar quaisquer problemas de segurança ou vulnerabilidades nos produtos e soluções da Hikvision, contacte o Centro de Resposta de Segurança da Hikvision através do endereço hsrc@hrbaojie.com.

A Hikvision gostaria de agradecer a todos os investigadores de segurança pela vossa atenção aos nossos produtos.

 

Este aviso de segurança é publicado e atualizado com base nos resultados da investigação atual da Hikvision e está sujeito a alterações. 

Contact Us
Hik-Partner Pro close
Hik-Partner Pro
Hik-Partner Pro
Scan and download the app
Download
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.