Vulnerabilidade de segurança em alguns produtos Hikvision Hybrid SAN/armazenamento de clusters
N.º de série HSRC-202206-01
Edição: Centro de Resposta à Segurança da Hikvision (HSRC)
Data de publicação original: 2022-06-23
Resumo
O módulo Web de alguns produtos Hikvision Hybrid SAN/armazenamento de clusters têm as seguintes vulnerabilidades de segurança:
1) Devido à validação insuficiente da entrada de dados, o atacante pode explorar a vulnerabilidade para executar comandos restringidos mediante o envio de mensagens com comandos maliciosos ao dispositivo afetado.
2) Devido à validação insuficiente da entrada de dados, o atacante pode explorar a vulnerabilidade para atacar o XSS mediante o envio de mensagens com comandos maliciosos ao dispositivo afetado.
ID DO CVE
CVE-2022-28171
CVE-2022-28172
Pontuação
Esta pontuação de vulnerabilidades adotou o CVSS v3.
(http://www.first.org/cvss/specification-document)
CVE-2022-28171
Pontuação base: 7,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
Pontuação temporal: 6,7 (E:P/RL:O/RC:C)
CVE-2022-28172
Pontuação base: 6,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)
Pontuação temporal: 5,9 (E:P/RL:O/RC:C)
Versões afetadas e correções
Nome do produto | Versões afetadas |
DS-A71024/48/72R | Versões inferiores à V2.3.8-6 (incluindo V2.3.8-6) |
DS-A80624S | |
DS-A81016S | |
DS-A72024/72R | |
DS-A80316S | |
DS-A82024D | |
DS-A71024/48R-CVS | Versões inferiores à V1.1.4 (incluindo V1.1.4) |
DS-A72024/48R-CVS |
Pré-condição
O atacante tem acesso de rede ao dispositivo.
Passo de ataque
Envio de uma mensagem maliciosa criada especificamente para o efeito.
Obtenção de versões corrigidas
Os utilizadores podem transferir patches/atualizações a partir do site oficial da Hikvision (clique aqui) para mitigarem estas vulnerabilidades.
Fonte de informação sobre a vulnerabilidade:
Esta vulnerabilidade foi comunicada ao HSRC pelo investigador de segurança independente Thurein Soe.
Contacte-nos
Para comunicar problemas ou vulnerabilidades de segurança em produtos e soluções Hikvision, contacte o Centro de Resposta à Segurança da Hikvision em hsrc@hrbaojie.com.
A Hikvision gostaria de agradecer a todos os investigadores de segurança que ajudaram a identificar e mitigar potenciais vulnerabilidades nos nossos produtos para garantir que as nossas soluções protegem pessoas, instalações e bens ao mesmo tempo que os dados dos utilizadores são salvaguardados.
Transferir
Este site usa cookies para armazenar informações em seu dispositivo. Os cookies ajudam nosso site a funcionar normalmente e nos mostram como podemos melhorar sua experiência de usuário.
Ao continuar a navegar na página, concorda com a nossa política de cookies e política de privacidad.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.