区域/语言
返回
X

关于海康威视部分门禁对讲产品存在安全漏洞的安全公告

安全公告-海康威视部分门禁对讲产品存在安全漏洞

mediaIamge

公告编号:HSRC-202306-01

 

公告来源:海康威视安全应急响应中心

 

初始发布时间:2023-06-14

 

漏洞概述:

海康威视部分门禁对讲产品存在以下安全漏洞

(1)部分门禁产品存在会话固定漏洞,产品在用户登录成功后未更新会话标识。攻击者需与合法用户在同一时刻请求会话标识,并通过伪造已登录合法用户的IP和会话标识获得设备操作权限。

(2)部分门禁对讲产品存在未授权修改设备网络配置漏洞,攻击者需在同一局域网内通过向存在漏洞的接口发送特定的数据包修改设备网络配置。

 

海康威视已发布版本修复该漏洞。

 

漏洞编号:

CVE-2023-28809

CVE-2023-28810

 

漏洞评分:

该漏洞使用CVSS v3标准进行分级评分(http://www.first.org/cvss/specification-document

CVE-2023-28809

基础得分:7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

临时得分:6.7 (/E:P/RL:O/RC:C)

 

CVE-2023-28810

基础得分:4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

临时得分:3.9 (E:P/RL:O/RC:C)

 

影响版本和修复版本:(如升级失败,可点击 在线客服 获取帮助)

mediaIamge
受影响的设备名称 受影响范围 受影响版本号 修复程序下载
DS-K1T341AXX CVE-2023-28809 & CVE-2023-28810 V3.2.30_build221223及之前的版本 下载
DS-K1T671BXXX V3.3.11_build230112及之前的版本 下载
DS-K5671BXXX
DS-K5604BXXX
DS-K1T320XXX V3.5.0_build220706及之前的版本 下载
DS-KH85系列 CVE-2023-28810 V2.1.83 build230131及之前的版本 下载
DS-KH63系列 V2.1.69_build220921及之前的版本 下载
DS-KH95系列 V2.1.75_build230206及以前的版本 下载
mediaIamge

 

版本获取途径:

用户可通过海康威视官网获取补丁/更新版本。

 

漏洞来源:

以上漏洞是由安全研究者Andres Hinnosaar和Peter Szot分别报告给海康威视HSRC。

 

联系渠道:

关于海康威视产品和解决方案的安全问题,可通过 hsrc@hikvision.com联系HSRC。海康威视对所有关注我司产品的安全研究人员表示感谢! 

联系我们
在线咨询
项目咨询
投诉与建议
进入微信小程序 随时了解产品信息
联系我们
在线咨询
项目咨询
投诉与建议
进入微信小程序,随时了解产品信息

获得更好的体验

您正在使用IE浏览器,我们建议您切换以下浏览器阅览