SN č. HSRC-202410-01
Edit: HSRC (centrum bezpečnostní odpovědnosti Hikvision):
Datum prvního vydání: 18.10.2024
Shrnutí
(1) V některých verzích aplikace HikCentral Master Lite existuje zranitelnost CSV injection. Pokud by byl zneužit, mohl by útočník sestavit škodlivá data a vygenerovat spustitelné příkazy v souboru CSV.
(2) V některých verzích HikCentral Master Lite se vyskytuje zranitelnost XSS. Pokud by byl zneužit, mohl by útočník do určitých stránek vložit skripty sestavením škodlivých dat.
(3) V některých verzích HikCentral Professional existuje zranitelnost SQL injection. To může autentizovanému uživateli umožnit spuštění libovolného dotazu SQL.
CVE ID
CVE-2024-47485
CVE-2024-47486
CVE-2024-47487
Bodování
Při hodnocení těchto zranitelností se používá standard CVSS v4.0.
(https://www.first.org/cvss/v4.0/specification-document)
CVE-2024-47485
Základní skóre: 5.5 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H)
CVE-2024-47486
Základní skóre: 2.1 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N)
CVE-2024-47487
Základní skóre: 7.2 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:L/VA:L/SC:L/SI:L/SA:L)
Napadené verze a oprava
Název produktu
|
CVE ID
|
Napadené verze
|
Opravená verze
|
HikCentral Master Lite
|
CVE-2024-47485
|
Verze mezi V2.0.0 a V2.2.1
|
V2.3.0
|
HikCentral Master Lite
|
CVE-2024-47486
|
Verze nižší než V2.2.1 (včetně V2.2.1)
|
V2.3.0
|
HikCentral Professional
|
CVE-2024-47487
|
Verze mezi V2.0.0 a V2.6.0
|
V2.6.1
|