• 918博天堂·(中国区)首页

    Notificação de segurança - Vulnerabilidade de segurança em alguns produtos de armazenamento Hikvision Hybrid SAN/Cluster

    N.º SN HSRC-202304-01

    Editar: Centro de Resposta à Segurança da Hikvision (HSRC)

    Data de publicação original: 2023-04-10

     

    Resumo

    Alguns produtos Hikvision Hybrid SAN/Cluster Storage têm uma vulnerabilidade de controlo de acesso que pode ser utilizada para obter a permissão de administrador. O atacante pode explorar a vulnerabilidade enviando mensagens criadas para os dispositivos afetados.

    A Hikvision lançou uma versão para corrigir a vulnerabilidade.

     

    ID DO CVE

    CVE-2023-28808

     

    Pontuação

    Esta pontuação de vulnerabilidades adotou o CVSS v3. 

    (http://www.first.org/cvss/specification-document)

    CVE-2023-28808

    Pontuação de base: 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)

    Pontuação temporal: 8.2 (E:P/RL:O/RC:C).

     

    Versões afetadas e correções

    Nome do produto Versões afetadas Descarregar a correção Manual do utilizador
    DS-A71024/48/72R  Versões inferiores a V2.3.8-8 (incluindo V2.3.8-8) Correção da vulnerabilidade de segurança do Hybrid SAN-230407.zip Guia do utilizador para a correção da vulnerabilidade de segurança da SAN híbrida_230410
    DS-A80624S
    DS-A81016S
    DS-A72024/72R
    DS-A80316S
    DS-A82024D
    DS-A71024/48R-CVS Versões inferiores à V1.1.4 (incluindo V1.1.4) Correção da vulnerabilidade de segurança do armazenamento em cluster-230407.zip Guia do utilizador para a correção da vulnerabilidade de segurança do Cluster_230410

    Pré-condição

    O atacante tem acesso de rede ao dispositivo.

     

    Passo de ataque

    Envio de uma mensagem maliciosa criada especificamente para o efeito.

     

    Obtenção de versões corrigidas

    Os utilizadores podem descarregar patches/atualizações no sítio Web oficial da Hikvision.

     

    Fonte de informação sobre a vulnerabilidade

    Esta vulnerabilidade foi comunicada ao HSRC por Souvik Kandar, Arko Dhar da equipa da Redinent Innovations na Índia, e queremos também agradecer a cooperação da Equipa Nacional de Resposta a Emergências Informáticas da Índia (CERT-In) que coordenou connosco o tratamento desta vulnerabilidade.

     

    Contacte-nos

    Para comunicar problemas ou vulnerabilidades de segurança em produtos e soluções Hikvision, contacte o Centro de Resposta à Segurança da Hikvision em hsrc@hrbaojie.com.

    A Hikvision gostaria de agradecer a todos os investigadores de segurança pela vossa atenção aos nossos produtos.

    Contact Us
    Hik-Partner Pro close
    Hik-Partner Pro
    Hik-Partner Pro
    Scan and download the app
    Download
    Hik-Partner Pro
    Hik-Partner Pro

    Get a better browsing experience

    You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.