Security Notification - Access Control Vulnerability in Some Hikvision Wireless Bridge Products

SN No. HSRC-202212-01

Bearbeiten: Hikvision Security Response Center (HSRC)

Datum der Erstveröffentlichung: 2022-12-16

Übersicht

Der Webserver einiger Wireless Bridge-Produkte von Hikvision weist eine Schwachstelle in der Zugriffskontrolle auf, die dazu genutzt werden kann, die Administratorrechte zu erhalten. Der Angreifer kann diese Schwachstelle ausnutzen, indem er manipulierte Nachrichten an die betroffenen Geräte sendet.

Hikvision hat eine Version zur Behebung der Sicherheitslücke veröffentlicht.

CVE ID

CVE-2022-28173

Bewertung

Die Bewertung der Schwachstellen erfolgt nach CVSS v3.

(http://www.first.org/cvss/specification-document)

Basisbewertung: 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)

Temporäre Bewertung: 8.2 (E:P/RL:O/RC:C)

Betroffene Versionen und Korrekturen (Wenn das Upgrade fehlschlägt, klicken Sie auf Online-Kundendienst, um Hilfe zu erhalten)

Produktname	Betroffene Versionen	Fix Download
DS-3WF0AC-2NT	Versions below V1.1.0	V1.1.0
DS-3WF01C-2N/O	Versions below V1.0.4	V1.0.4

Voraussetzung

Der Angreifer hat über das Netzwerk Zugriff auf das Gerät.

Vorgehensweise bei einem Angriff

Eine speziell erstellte Nachricht senden.

Korrigierte Versionen beziehen

Users can download patches/updates on the Hikvision official website.

Quelle der Informationen zur Schwachstelle:

This vulnerability is reported to HSRC by Souvik Kandar, Arko Dhar of the Redinent Innovations team in India.

Kontaktieren Sie uns

To report any security issues or vulnerabilities in Hikvision products and solutions, please contact Hikvision Security Response Center at hsrc@hikvision.com.

Hikvision would like to thank all security researchers for your attention to our products.