Vulnérabilités de sécurité dans la série de produits HikCentral

Vulnérabilités de sécurité dans la série de produits HikCentral

Numéro de série HSRC-202410-01

Modifier : Centre de réponse de sécurité Hikvision (HSRC)

Date de sortie initiale : 18/10/2024

 

Résumé

(1) Il existe une vulnérabilité d'injection CSV dans certaines versions de HikCentral Master Lite. Si elle est exploitée, un attaquant pourrait créer des données malveillantes pour générer des commandes exécutables dans le fichier CSV.

(2) Il existe une vulnérabilité XSS dans certaines versions de HikCentral Master Lite. Si elle est exploitée, un attaquant pourrait injecter des scripts dans certaines pages en créant des données malveillantes.

(3) Certaines versions de HikCentral Professional présentent une vulnérabilité d'injection SQL. Cela pourrait permettre à un utilisateur authentifié d'exécuter des requêtes SQL arbitraires.

 

Identifiant CVE

CVE-2024-47485

CVE-2024-47486

CVE-2024-47487

 

Notation

CVSS v4.0 est adopté pour évaluer ces vulnérabilités

(https://www.first.org/cvss/v4.0/specification-document)

CVE-2024-47485

Note de base 5,5 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H)

CVE-2024-47486

Note de base : 2,1 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N)

CVE-2024-47487

Note de base : 7,2 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:L/VA:L/SC:L/SI:L/SA:L)

 

Versions affectées et correctifs

Nom du produit

Identifiant CVE

Versions concernées

Version corrigée

HikCentral Master Lite

CVE-2024-47485

Versions entre V2.0.0 et V2.2.1

V2.3.0

HikCentral Master Lite

CVE-2024-47486

Versions inférieures à V2.2.1 (y compris V2.2.1)

V2.3.0

HikCentral Professional

CVE-2024-47487

Versions entre V2.0.0 et V2.6.0

V2.6.1

Obtention de version corrigée

Contactez l'équipe de soutien technique locale (cliquez pour sélectionner un pays ou une région et consultez les détails du service technique) pour obtenir une assistance.

 

Source des informations sur la vulnérabilité

Ces vulnérabilités ont été signalées au HSRC par Yousef Alfuhaid et Manh Doan Duc.

 

Nous contacter

Pour signaler tout problème de sécurité ou toute vulnérabilité dans les produits et solutions Hikvision, veuillez contacter le Centre de réponse de sécurité Hikvision à l'adresse hsrc@hikvision.com.

 

Hikvision tient à remercier tous les chercheurs en sécurité pour l'attention qu’ils portent à nos produits.

 

Hikvision.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics / show you targeted advertising / show you advertising on the basis of your location / tailor our website's content. For more information on cookie practices please refer to our cookie policy.

 

Contactez-Nous

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.