Numéro de série HSRC-202410-01
Modifier : Centre de réponse de sécurité Hikvision (HSRC)
Date de sortie initiale : 18/10/2024
Résumé
(1) Il existe une vulnérabilité d'injection CSV dans certaines versions de HikCentral Master Lite. Si elle est exploitée, un attaquant pourrait créer des données malveillantes pour générer des commandes exécutables dans le fichier CSV.
(2) Il existe une vulnérabilité XSS dans certaines versions de HikCentral Master Lite. Si elle est exploitée, un attaquant pourrait injecter des scripts dans certaines pages en créant des données malveillantes.
(3) Certaines versions de HikCentral Professional présentent une vulnérabilité d'injection SQL. Cela pourrait permettre à un utilisateur authentifié d'exécuter des requêtes SQL arbitraires.
Identifiant CVE
CVE-2024-47485
CVE-2024-47486
CVE-2024-47487
Notation
CVSS v4.0 est adopté pour évaluer ces vulnérabilités
(https://www.first.org/cvss/v4.0/specification-document)
CVE-2024-47485
Note de base 5,5 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H)
CVE-2024-47486
Note de base : 2,1 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N)
CVE-2024-47487
Note de base : 7,2 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:L/VA:L/SC:L/SI:L/SA:L)
Versions affectées et correctifs
Nom du produit
|
Identifiant CVE |
Versions concernées
|
Version corrigée
|
HikCentral Master Lite
|
CVE-2024-47485
|
Versions entre V2.0.0 et V2.2.1
|
V2.3.0
|
HikCentral Master Lite
|
CVE-2024-47486
|
Versions inférieures à V2.2.1 (y compris V2.2.1)
|
V2.3.0
|
HikCentral Professional
|
CVE-2024-47487
|
Versions entre V2.0.0 et V2.6.0
|
V2.6.1
|