Notificación de Seguridad - Vulnerabilidad a la Inyección de Comandos Críticos en algunos productos Hikvision

SN No.: HSRC-202109-01

Edición: Hikvision Security Response Center (HSRC)

Fecha de publicación: 2021-09-19

Resumen:

Una vulnerabilidad de inyección de comandos en el servidor web de algunos productos Hivision. Debido a una validación de entrada insuficiente, atacantes podrían aprovechar la vulnerabilidad para lanzar un ataque de inyección de comandos enviando algunos mensajes con comandos maliciosos.

CVE ID:

CVE-2021-36260

Puntaje:

CVSS v3 se adopta en esta puntaje de vulnerabilidad(http://www.first.org/cvss/specification-document)

Puntaje base: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Puntaje temporal: 8.8 (E:P/RL:O/RC:C)

Versiones afectadas y versiones resueltas:

Información de versiones afectadas y versiones resueltas: 

Nombre del producto

Versión(es) afectadas

DS-2CVxxx1
DS-2CVxxx5
DS-2CVxxx6

Versiones creadas antes de 210625

IPC-xxxx

DS-2CD1xx1

DS-2CD1x23

DS-2CD1x43(B)

DS-2CD1x43(C)
DS-2CD1x43G0E
DS-2CD1x53(B)
DS-2CD1x53(C)

DS-2CD1xx7G0

DS-2CD2xx6G2

DS-2CD2xx7G2

DS-2CD2x21G0

DS-2CD2x21G0(C)

DS-2CD2x21G1

DS-2CD2x21G1(C)

DS-2CD2xx3G2

DS-2CD3xx6G2

DS-2CD3xx6G2(C)
DS-2CD3xx7G2
DS-2CD3xx7G2(C)

DS-2CD3xx7G0E

DS-2CD3x21G0

DS-2CD3x21G0(C)
DS-2CD3x51G0(C)

DS-2CD3xx3G2

DS-2CD4xx0
DS-2CD4xx6
iDS-2XM6810
iDS-2CD6810

DS-2XE62x2F(D)
DS-2XC66x5G0
DS-2XE64x2F(B)

DS-2CD8Cx6G0

(i)DS-2DExxxx

(i)DS-2PTxxxx

(i)DS-2SE7xxxx

PTZ-Nxxxx

DS-2DF5xxxx
DS-2DF6xxxx
DS-2DF6xxxx-Cx
DS-2DF7xxxx
DS-2DF8xxxx

iDS-2VSxxxx

DS-2TDxxxxB

Versiones creadas antes de 210702

DS-2TD1xxx-xx
DS-2TD2xxx-xx

DS-2TD41xx-xx/Wx
DS-2TD62xx-xx/Wx
DS-2TD81xx-xx/Wx
DS-2TD4xxx-xx/V2
DS-2TD62xx-xx/V2
DS-2TD81xx-xx/V2

DS-76xxNI-K1xx(C)
DS-76xxNI-Qxx(C)
DS-HiLookI-NVR-1xxMHxx-C(C)
DS-HiLookI-NVR-2xxMHxx-C(C)

V4.30.210 Creada 201224 - V4.31.000 Creada 210511

DS-71xxNI-Q1xx(C)
DS-HiLookI-NVR-1xxMHxx-D(C)
DS-HiLookI-NVR-1xxHxx-D(C)

V4.30.300 Creada 210221 - V4.31.100 Creada 210511

Precondiciones:

El atacante tiene acceso a la red del dispositivo o el dispositivo tiene una interfase directa con Internet.

Paso de ataque:

Envía un mensaje diseñado especialmente.

Obtener el firmware arreglado:

Los usuarios deberán descargar el firmware actualizado para protegerse contra esta vulnerabilidad portencial. Está disponible en el sitio web oficial de Hikvision: Descarga Firmware.

Fuente de la información de vulnerabilidad:

Esta vulnerabilidad es reportada a HSRC por investigadores de Watchful IP en Reino Unido. 

Contáctenos:

Si tiene algún problema de seguridad o duda, por favor contacte al Centro de Respuestas de Seguridad al correo: hsrc@hikvision.com.

2021-09-19 V1.0 INICIAL

2021-09-23 V1.1 ACTUALIZADA: Actualización de versiones afectadas

2021-09-24 V1.2 ACTUALIZADA: Actualización de versiones afectadas

Descarga

This website uses cookies to store info on your device. Cookies help our website work normally and show us how we can improve your user experience.
By continuing to browse the site you are agreeing to our cookie policy and privacy policy.

Contáctenos