SN No. HSRC-202404-01
Bearbeiten: Hikvision Security Response Center (HSRC)
Datum der Erstveröffentlichung: 2024-04-02
Zusammenfassung:
1. Es gibt eine NULL-Zeiger-Dereferenz-Schwachstelle in einigen Hikvision NVRs. Aufgrund einer unzureichenden Validierung eines Parameters in einer Nachricht kann ein Angreifer speziell gestaltete Nachrichten an ein betroffenes Produkt senden und eine Prozessanomalie verursachen.
2. In einigen Hikvision NVRs gibt es eine Schwachstelle beim Lesen außerhalb des zulässigen Bereichs. Ein authentifizierter Angreifer kann diese Schwachstelle ausnutzen, indem er speziell gestaltete Nachrichten an ein anfälliges Gerät sendet und so eine Dienstabnormalität verursacht.
3. In einigen Hikvision NVRs gibt es eine Schwachstelle bei der Befehlsinjektion. Dies könnte es einem authentifizierten Benutzer mit administrativen Rechten ermöglichen, beliebige Befehle auszuführen.
Hikvision empfiehlt Anwendern, komplexe Gerätepasswörter einzurichten, um die Möglichkeit zu verringern, dass die oben genannten Schwachstellen ausgenutzt werden.
CVE ID:
CVE-2024-29947
CVE-2024-29948
CVE-2024-29949
Bewertung:
CVSS v3.1 wird für die Bewertung dieser Schwachstellen verwendet
(http://www.first.org/cvss/specification-document)
CVE-2024-29947
Basisbewertung: 2.7 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L)
CVE-2024-29948
Basisbewertung: 3.8 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:L)
CVE-2024-29949
Basisbewertung: 7.2 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
Betroffene Versionen und Updates:
Produktname
|
Betroffen von
|
Betroffene Versionen
|
DS-7604NI-K1 / 4P(B)
|
CVE-2024-29947 &
CVE-2024-29949
|
V4.30.096 build221220 and the versions prior to it
|
DS-7604NXI-K1/4P
|
CVE-2024-29948
|
V4.76.005 build231012 and the versions prior to it
|
DS-76xxNI-Mx
DS-77xxNI-Mx
DS-96xxxNI-Mxx
DS-76xxNXI-Ix
DS-77xxNXI-Ix
DS-86xxNXI-Ix
DS-96xxNXI-Ix
iDS-76xxNXI-Mx
iDS-77xxNXI-Mx
iDS-96xxxMXI-Mxx
|
CVE-2024-29949
|
Versions after V5.00.000 (including V5.00.000) and before V5.02.006(not including V5.02.006) |
DS-7604NI-M1/4P
|
Versions after V5.00.000 (including V5.00.000) and before V5.01.070(not including V5.01.070) |
Bezug von korrigierten Versionen:
Benutzer können Patches/Aktualisierungen auf der offiziellen Website von Hikvision herunterladen.
Quelle der Informationen über Schwachstellen
Diese Schwachstellen wurden der HSRC von Team.ENVY (KITRI BoB 12) gemeldet.
Kontaktieren Sie uns
Wenn Sie Sicherheitsprobleme oder Schwachstellen in Produkten und Lösungen von Hikvision melden möchten, wenden Sie sich bitte an das Hikvision Security Response Center unter hsrc@hikvision.com.
Hikvision möchte sich bei allen Sicherheitsforschern für ihre Aufmerksamkeit gegenüber unseren Produkten bedanken.
Dieser Sicherheitshinweis wird auf der Grundlage der aktuellen Untersuchungsergebnisse von Hikvision veröffentlicht und aktualisiert und kann Änderungen unterliegen.
Neue Produkte
Zubehörberater
Produkt-Selektor
HiTools Designer
Hikvision App Store
Hikvision License Activation
