Vulnérabilité de sécurité dans certains produits SAN hybrides Hikvision

Vulnérabilité de sécurité dans certains produits de stockage hybride SAN/Cluster de Hikvision

SN No:HSRC-201804-09

Modifier:Centre de réponse de sécurité de Hikvision (HSRC)

Date de publication initiale : 2018-01-06

 

sommaire

Le module web de certains produits Hikvision Hybrid SAN/Cluster Storage présente les vulnérabilités de sécurité suivantes :

1) En raison de la validation insuffisante des entrées, un attaquant peut exploiter la vulnérabilité pour exécuter des commandes restreintes en envoyant des messages contenant des commandes malveillantes à l'appareil concerné. 

En raison d'une validation insuffisante des entrées, un attaquant peut exploiter la vulnérabilité pour lancer une attaque par injection de commandes en envoyant des messages contenant des commandes malveillantes.

 

CVE ID

CVE-2021-36260

CVE-2021-36260

 

Notation

La norme CVSS v3 est adoptée pour l'évaluation des vulnérabilités. 

(http://www.first.org/cvss/specification-document)

CVE-2021-36260

Score de base : 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Score temporel : 8.8 (E:P/RL:O/RC:C)

CVE-2021-36260

Score de base : 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Score temporel : 8.8 (E:P/RL:O/RC:C)

 

Versions et correctifs affectés

Nom du produit Versions affectées
DS-A71024/48/72R Versions inférieures à V2.3.8-6 (y compris V2.3.8-6)
DS-A80624S
DS-A81016S
DS-A72024/72R
DS-A80316S
DS-A82024D
DS-A71024/48R-CVS Versions inférieures à V1.1.4 (y compris V1.1.4)
DS-A72024/48R-CVS

Pré condition

L'attaquant a un accès réseau à l'appareil.

 

Étape d'attaque

Envoyer un message spécialement conçu.

 

Obtention de versions corrigées

Les utilisateurs peuvent télécharger des correctifs/mises à jour sur le site officiel de Hikvision (Cliquez ici) pour atténuer ces vulnérabilités. 

 

Nous contacter

Pour signaler tout problème de sécurité ou toute vulnérabilité dans les produits et solutions Hikvision, veuillez contacter le Centre de réponse de sécurité Hikvision à l'adresse hsrc@hikvision.com.

 

Hikvision tient à remercier tous les chercheurs en sécurité qui contribuent à identifier et à atténuer les vulnérabilités potentielles de nos produits afin de garantir que nos solutions protègent les personnes, les lieux et les biens tout en protégeant les données des utilisateurs. 

 

 

Consultez la lettre du partenaire pour obtenir plus d'informations >>

Hikvision.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics / show you targeted advertising / show you advertising on the basis of your location / tailor our website's content. For more information on cookie practices please refer to our cookie policy.

 

Contactez-Nous
back to top

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.