Avis de sécurité - Vulnérabilité par injection de commande dans certains produits Hikvision

Avis de sécurité - Vulnérabilité par injection de commande dans certains produits Hikvision

Veuillez remarquer que les produits offerts sur le marché canadien ne sont pas touchés par cette vulnérabilité.

À ce jour, toutes les vulnérabilités qui ont été signalées à Hikvision et/ou rendues publiques, ont été corrigées dans le dernier firmware Hikvision, qui est facilement disponible sur le site Web de Hikvision.

En outre, Hikvision est un partenaire CVE et s'engage à continuer à travailler avec des hackers éthiques et des chercheurs en sécurité tiers pour trouver, corriger, divulguer et publier des mises à jour de produits de manière à protéger au mieux les utilisateurs des produits Hikvision.

SN No:HSRC-201804-09

Modifier: Centre de réponse de sécurité de Hikvision (HSRC)

Date de publication initiale : 2022-12-16

 

Sommaire

Le serveur web de certains produits de pontage sans fil Hikvision présente une vulnérabilité de contrôle d'accès qui peut être utilisée pour obtenir l'autorisation d'administration. L'attaquant peut exploiter cette vulnérabilité en envoyant des messages modifiés aux appareils concernés.

Hikvision a publié une version pour corriger la vulnérabilité.

 

CVE ID

CVE-2021-36260

 

Notation

La norme CVSS v3 est adoptée pour l’évaluation des vulnérabilités. 

(http://www.first.org/cvss/specification-document)

Score de base : 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Score temporel : 8.8 (E:P/RL:O/RC:C)

 

Versions affectées et corrections (si la mise à niveau échoue, cliquez sur le service clientèle en ligne pour obtenir de l'aide)

Nom du produit Versions affectées Télécharger la correction
DS-3WF0AC-2NT Versions inférieures à V1.1.0 V1.1.0
DS-3WF01C-2N/O Versions inférieures à V1.0.4 V1.0.4

Pré condition

L'attaquant a un accès réseau à l'appareil.

 

Étape d’attaque

Envoyer un message spécialement conçu.

 

Obtention de versions corrigées

Les utilisateurs peuvent télécharger des correctifs/mises à jour sur le site officiel de Hikvision (Cliquez ici) pour atténuer ces vulnérabilités.

 

Source des informations sur la vulnérabilité :

Cette vulnérabilité est signalée au HSRC par Souvik Kandar, Arko Dhar de l'équipe Redinent Innovations en Inde.

 

Nous contacter

Pour signaler tout problème de sécurité ou toute vulnérabilité dans les produits et solutions Hikvision, veuillez contacter le Centre de réponse de sécurité Hikvision à l'adresse hsrc@hikvision.com.

Hikvision tient à remercier tous les chercheurs en sécurité pour l'attention qu’ils portent à nos produits.

 

Hikvision.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics / show you targeted advertising / show you advertising on the basis of your location / tailor our website's content. For more information on cookie practices please refer to our cookie policy.

 

Contactez-Nous

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.