Notificación de Seguridad - Vulnerabilidad en Inyección de comandos en algunos productos Hikvision

Notificación de seguridad - Vulnerabilidad a la inyección de comandos críticos en algunos productos Hikvision

SN No.: HSRC-202109-01

Edición: Hikvision Security Response Center (HSRC)

Fecha de publicación: 2021-09-19

Resumen:

Una vulnerabilidad de inyección de comandos en el servidor web de algunos productos Hivision. Debido a una validación de entrada insuficiente, atacantes podrían aprovechar la vulnerabilidad para lanzar un ataque de inyección de comandos enviando algunos mensajes con comandos maliciosos.

CVE ID:

CVE-2021-36260

Puntaje:

CVSS v3 se adopta en esta puntaje de vulnerabilidad(http://www.first.org/cvss/specification-document)

Puntaje base: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Puntaje temporal: 8.8 (E:P/RL:O/RC:C)

Versiones afectadas y versiones resueltas:

Información de versiones afectadas y versiones resueltas: 

Nombre del producto

Versión(es) afectadas

DS-2CVxxx1
DS-2CVxxx5
DS-2CVxxx6

Versiones creadas antes de 210625

IPC-xxxx

DS-2CD1xx1

DS-2CD1x23

DS-2CD1x43(B)

DS-2CD1x43(C)
DS-2CD1x43G0E
DS-2CD1x53(B)
DS-2CD1x53(C)

DS-2CD1xx7G0

DS-2CD2xx6G2

DS-2CD2xx7G2

DS-2CD2x21G0

DS-2CD2x21G0(C)

DS-2CD2x21G1

DS-2CD2x21G1(C)

DS-2CD2xx3G2

DS-2CD3xx6G2

DS-2CD3xx6G2(C)
DS-2CD3xx7G2
DS-2CD3xx7G2(C)

DS-2CD3xx7G0E

DS-2CD3x21G0

DS-2CD3x21G0(C)
DS-2CD3x51G0(C)

DS-2CD3xx3G2

DS-2CD4xx0
DS-2CD4xx6
iDS-2XM6810
iDS-2CD6810

DS-2XE62x2F(D)
DS-2XC66x5G0
DS-2XE64x2F(B)

DS-2CD8Cx6G0

(i)DS-2DExxxx

(i)DS-2PTxxxx

(i)DS-2SE7xxxx

PTZ-Nxxxx

DS-2DF5xxxx
DS-2DF6xxxx
DS-2DF6xxxx-Cx
DS-2DF7xxxx
DS-2DF8xxxx

iDS-2VSxxxx

DS-2TDxxxxB

Versiones creadas antes de 210702

DS-2TD1xxx-xx
DS-2TD2xxx-xx

DS-2TD41xx-xx/Wx
DS-2TD62xx-xx/Wx
DS-2TD81xx-xx/Wx
DS-2TD4xxx-xx/V2
DS-2TD62xx-xx/V2
DS-2TD81xx-xx/V2

DS-76xxNI-K1xx(C)
DS-76xxNI-Qxx(C)
DS-HiLookI-NVR-1xxMHxx-C(C)
DS-HiLookI-NVR-2xxMHxx-C(C)

V4.30.210 Creada 201224 - V4.31.000 Creada 210511

DS-71xxNI-Q1xx(C)
DS-HiLookI-NVR-1xxMHxx-D(C)
DS-HiLookI-NVR-1xxHxx-D(C)

V4.30.300 Creada 210221 - V4.31.100 Creada 210511

Precondiciones:

El atacante tiene acceso a la red del dispositivo o el dispositivo tiene una interfase directa con Internet.

Paso de ataque:

Envía un mensaje diseñado especialmente.

Obtener el firmware arreglado:

Los usuarios deberán descargar el firmware actualizado para protegerse contra esta vulnerabilidad portencial. Está disponible en el sitio web oficial de Hikvision: Descarga Firmware.

Fuente de la información de vulnerabilidad:

Esta vulnerabilidad es reportada a HSRC por investigadores de Watchful IP en Reino Unido. 

Contáctenos:

Si tiene algún problema de seguridad o duda, por favor contacte al Centro de Respuestas de Seguridad al correo: hsrc@hikvision.com.

2021-09-19 V1.0 INICIAL

2021-09-23 V1.1 ACTUALIZADA: Actualización de versiones afectadas

2021-09-24 V1.2 ACTUALIZADA: Actualización de versiones afectadas

Descargas

Hikvision.com/es-la/ utiliza cookies estrictamente necesarias y tecnologías relacionadas para permitir que el sitio web funcione. Con su consentimiento, también nos gustaría utilizar cookies para observar y analizar los niveles de tráfico y otras métricas / mostrarle publicidad dirigida / mostrarle publicidad de acuerdo con su ubicación / adaptar el contenido de nuestro sitio web. Para obtener más información sobre las prácticas de cookies, consulte nuestra política de cookies.

Contáctenos
back to top

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.