Avis de sécurité - Vulnérabilité par injection de commande dans certains produits Hikvision
SN No.: HSRC-202109-01
Modifier: Centre de réponse de sécurité de Hikvision (HSRC)
Date de publication initiale: 2021-09-19
Sommaire:
Une vulnérabilité d'injection de commande dans le serveur web de certains produits Hikvision. En raison d'une validation insuffisante des entrées, un attaquant peut exploiter la vulnérabilité pour lancer une attaque par injection de commandes en envoyant des messages contenant des commandes malveillantes.
CVE ID:
CVE-2021-36260
Notation :
CVSS v3 est adopté dans la notation de cette vulnérabilité(http://www.first.org/cvss/specification-document)
Score de base : 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Score temporel : 8.8 (E:P/RL:O/RC:C)
Versions affectées et version résolue :
Le firmware de votre appareil est affecté par cette vulnérabilité de sécurité (CVE-2021-36260) si sa version est antérieure à 210628. Veuillez installer les mises à jour immédiatement. Informations sur les versions affectées et les versions résolues :
Nom du produit |
Version (s) affectée (s) |
DS-2CVxxx1 |
Versions dont la date de construction est antérieure à 210625 |
HWI-xxxx |
|
IPC-xxxx |
|
DS-2CD1xx1 |
|
DS-2CD1x23G0 DS-2CD1x23G0E(C) |
|
DS-2CD1xx7G0 |
|
DS-2CD2xx6G2 DS-2CD2xx6G2(C) DS-2CD2xx7G2 DS-2CD2xx7G2(C) |
|
DS-2CD2x21G0 DS-2CD2x21G0(C) DS-2CD2x21G1 DS-2CD2x21G1(C) |
|
DS-2CD2xx3G2 |
|
DS-2CD3xx6G2 DS-2CD3xx6G2(C) |
|
DS-2CD3xx7G0E |
|
DS-2CD3x21G0 DS-2CD3x21G0(C) |
|
DS-2CD3xx3G2 |
|
DS-2CD4xx0 |
|
DS-2XE62x2F(D) |
|
DS-2CD8Cx6G0 |
|
(i)DS-2DExxxx |
|
(i)DS-2PTxxxx |
|
(i)DS-2SE7xxxx |
|
DS-2DYHxxxx |
|
DS-2DY9xxxx |
|
PTZ-Nxxxx |
|
HWP-Nxxxx |
|
DS-2DF5xxxx |
|
iDS-2PT9xxxx |
|
iDS-2SK7xxxx |
|
iDS-2SR8xxxx |
|
iDS-2VSxxxx |
|
DS-2TBxxx |
Versions dont la date de construction est antérieure à 210702 |
DS-2TD1xxx-xx |
|
DS-2TD41xx-xx/Wx |
|
DS-76xxNI-K1xx(C) |
V4.30.210 Build201224 - V4.31.000 Build210511 |
DS-71xxNI-Q1xx(C) |
V4.30.300 Build210221 - V4.31.100 Build210511 |
Pré condition:
L'attaquant a accès au réseau du dispositif ou le dispositif a une interface directe avec l'Internet.
Étape de l'attaque :
Envoyer un message spécialement conçu.
Obtenir le firmware corrigé :
Les utilisateurs doivent télécharger le firmware mis à jour pour se prémunir contre cette vulnérabilité potentielle. Il est disponible sur le site officiel de Hikvision : Télécharger le firmware. Les utilisateurs peuvent également utiliser l'outil de recherche de mise à jour importante du firmware pour détecter rapidement les vulnérabilités critiques et télécharger le firmware correspondant.
Source des informations sur la vulnérabilité :
Cette vulnérabilité a été signalée au HSRC par le chercheur en sécurité britannique Watchful IP.
Nous contacter
Si vous avez un problème de sécurité ou une préoccupation, veuillez contacter le Centre de réponse de sécurité Hikvision à l'adresse hsrc@hikvision.com.
2021-09-19 V1.0 INITIALE
2021-09-23 V1.1 MISE À JOUR: Mise à jour des versions affectées
2021-09-24 V1.2 MISE À JOUR: Mise à jour des versions affectées
2021-11-08 V1.3 MISE À JOUR: Mise à jour des versions affectées
Télécharger
Hikvision.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics / show you targeted advertising / show you advertising on the basis of your location / tailor our website's content. For more information on cookie practices please refer to our cookie policy.
Discontinued products
Technologies de base
Sélecteur d’accessoire
Hikvision App Store
