SN No. HSRC-202508-01
Bearbeiten: Hikvision Security Response Center (HSRC)
Erstes Veröffentlichungsdatum: 2025-08-28
Zusammenfassung
(1) In einigen Versionen von HikCentral Master Lite besteht eine CSV-Injection-Schwachstelle. Dies könnte es einem Angreifer ermöglichen, ausführbare Befehle über bösartige CSV-Daten einzuschleusen.
(2) In einigen Versionen von HikCentral FocSign gibt es eine Schwachstelle im unquotierten Dienstpfad. Dies könnte es einem authentifizierten Benutzer ermöglichen, eine Eskalation der Privilegien über lokalen Zugriff zu ermöglichen.
(3) Es gibt eine Schwachstelle in der Zugriffskontrolle in einigen Versionen von HikCentral Professional. Dies könnte es einem nicht authentifizierten Benutzer ermöglichen, die Admin-Berechtigung zu erhalten.
CVE ID
CVE-2025-39245
CVE-2025-39246
CVE-2025-39247
Bewertung
CVSS v3.1 wird für die Bewertung dieser Schwachstellen verwendet
(http://www.first.org/cvss/specification-document)
CVE-2025-39245
Bewertung: 4.7 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L)
CVE-2025-39246
Bewertung: 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
CVE-2025-39247
Bewertung: 8.6 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)
Betroffene Versionen und Fix
Produktname
|
CVE ID
|
Betroffene Versionen |
Behobene Version |
HikCentral Master Lite
|
CVE-2025-39245
|
Version zwischen V2.2.1 und V2.3.2
|
V2.4.0
|
HikCentral FocSign
|
CVE-2025-39246
|
Versions zwischen V1.4.0 und V2.2.0
|
V2.3.0
|
HikCentral Professional
|
CVE-2025-39247
|
Versions zwischen V2.3.1 und V2.6.2
Version V3.0.0
|
V2.6.3 oder V3.0.1 |