Vulnerabilidades de segurança nos dispositivos NVR da Hikvision
N.º SN HSRC-202404-01
Edição: Centro de Resposta à Segurança da Hikvision (HSRC)
Data de publicação original: 2024-04-02
Resumo:
1. Existe uma vulnerabilidade de dereferência de ponteiro NULL em alguns NVRs da Hikvision. Devido a uma validação insuficiente de um parâmetro numa mensagem, um atacante pode enviar mensagens especialmente criadas para um produto afetado, causando uma anomalia no processo.
2. Existe uma vulnerabilidade de leitura fora dos limites em alguns NVRs da Hikvision. Um atacante autenticado pode explorar esta vulnerabilidade enviando mensagens especialmente concebidas para um dispositivo vulnerável, causando uma anomalia no serviço.
3. Existe uma vulnerabilidade de injeção de comandos em alguns NVRs da Hikvision. Isto poderia permitir que um utilizador autenticado com direitos administrativos executasse comandos arbitrários.
A Hikvision recomenda que os utilizadores definam palavras-passe complexas para os dispositivos, de modo a reduzir a possibilidade de exploração das vulnerabilidades acima referidas.
ID CVE:
CVE-2024-29947
CVE-2024-29948
CVE-2024-29949
Pontuação:
O CVSS v3.1 é adotado para classificar estas vulnerabilidades
(http://www.first.org/cvss/specification-document)
CVE-2024-29947
Pontuação base: 2.7 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L)
CVE-2024-29948
Pontuação base: 3.8 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:L)
CVE-2024-29949
Pontuação base: 7.2 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
Versões afectadas e correcções:
Nome do produto |
Afetado por |
Versões afetadas |
DS-7604NI-K1 / 4P(B) |
CVE-2024-29947 & CVE-2024-29949
|
V4.30.096 build221220 e as versões anteriores a ela |
DS-7604NXI-K1/4P |
CVE-2024-29948
|
V4.76.005 build231012 e as versões anteriores a ela |
DS-76xxNI-Mx DS-77xxNI-Mx DS-96xxxNI-Mxx
DS-76xxNXI-Ix DS-77xxNXI-Ix DS-86xxNXI-Ix DS-96xxNXI-Ix
iDS-76xxNXI-Mx iDS-77xxNXI-Mx iDS-96xxxMXI-Mxx |
CVE-2024-29949 |
Versões posteriores à V5.00.000 (incluindo a V5.00.000) e anteriores à V5.02.006(não incluindo a V5.02.006) |
DS-7604NI-M1/4P
|
Versões posteriores à V5.00.000 (incluindo a V5.00.000) e anteriores à V5.01.070(não incluindo a V5.01.070) |
Obtenção de versões fixas
Os utilizadores podem transferir patches/atualizações no sítio Web oficial da Hikvision .
Fonte de informação sobre a vulnerabilidade
Estas vulnerabilidades foram comunicadas ao HSRC pela Team.ENVY (KITRI BoB 12th).
Contacte-nos
Para comunicar quaisquer problemas de segurança ou vulnerabilidades nos produtos e soluções da Hikvision, contacte o Centro de Resposta de Segurança da Hikvision através do endereço hsrc@hrbaojie.com.
A Hikvision gostaria de agradecer a todos os investigadores de segurança pela vossa atenção aos nossos produtos.
Este aviso de segurança é publicado e atualizado com base nos resultados da investigação atual da Hikvision e está sujeito a alterações.
Este site usa cookies para armazenar informações em seu dispositivo. Os cookies ajudam nosso site a funcionar normalmente e nos mostram como podemos melhorar sua experiência de usuário.
Ao continuar a navegar na página, concorda com a nossa política de cookies e política de privacidad.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.