Vulnerabilidad de seguridad en algunos productos de almacenamiento en Hybrid SAN/Clúster de Hikvision

Vulnerabilidad de seguridad en algunos productos de almacenamiento en Hybrid SAN/Clúster de Hikvision

SN No. HSRC-202206-01

Edición: Hikvision Security Response Center (HSRC)

Fecha inicial de lanzamiento: 2022-06-23

 

Resumen

El módulo web en algunos productos Hikvision Hybrid SAN/Clúster Storage tiene las siguientes vulnerabilidades de seguridad:

1) Debido a la insuficiente validación de entrada, el atacante puede aprovechar la vulnerabilidad para ejecutar comandos restringidos mediante el envío de mensajes con comandos maliciosos al dispositivo afectado. 

2) Debido a la insuficiente validación de entrada, el atacante puede aprovechar la vulnerabilidad del ataque XSS enviando mensajes con comandos maliciosos al dispositivo afectado.

 

CVE ID

CVE-2022-28171

CVE-2022-28172

 

Puntuación

CVSS v3 es adoptado en esta puntuación de vulnerabilidad. 

(http://www.first.org/cvss/specification-document)

CVE-2022-28171

Puntuación básica: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

Puntuación temporal: 6.7 (/E:P/RL:O/RC:C)

CVE-2022-28172

Puntuación básica: 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)

Puntuación temporal: 5.9 (E:P/RL:O/RC:C)

 

 

Versiones afectadas y arreglos

 

Nombre del producto Versiones afectadas
DS-A71024/48/72R

Versiones a continuación:

V2.3.8-6 (incluida V2.3.8-6)

DS-A80624S
DS-A81016S
DS-A72024/72R
DS-A80316S
DS-A82024D
DS-A71024/48R-CVS

Versiones a continuación:

V1.1.4 (incluida V1.1.4)

DS-A72024/48R-CVS

Condición previa

El atacante tiene acceso a la red del dispositivo.

 

Paso de ataque

Enviar un mensaje malicioso especialmente diseñado.

 

Obtención de versiones arregladas

Los usuarios pueden descargar patches/actualizaciones en el sitio web oficial de Hikvision (haga clic aquí) para mitigar estas vulnerabilidades. 

 

Contáctenos

Para informar cualquier problema de seguridad o vulnerabilidad en los productos y soluciones de Hikvision, comuníquese con el Centro de Respuesta de Seguridad de Hikvision en hsrc@hikvision.com.

 

Hikvision desea agradecer a todos los investigadores de seguridad que ayudan a identificar y mitigar las posibles vulnerabilidades en nuestros productos para garantizar que nuestras soluciones protejan a las personas, los lugares y los activos, mientras que los datos de los usuarios están protegidos. 

 

 

Consulte la carta a socios para obtener más información >>

Hikvision.com/es-la/ utiliza cookies estrictamente necesarias y tecnologías relacionadas para permitir que el sitio web funcione. Con su consentimiento, también nos gustaría utilizar cookies para observar y analizar los niveles de tráfico y otras métricas / mostrarle publicidad dirigida / mostrarle publicidad de acuerdo con su ubicación / adaptar el contenido de nuestro sitio web. Para obtener más información sobre las prácticas de cookies, consulte nuestra política de cookies.

Contáctenos
Hik-Partner Pro close
Hik-Partner Pro
Tu herramienta aliada Lee más
Hik-Partner Pro
Scan and download the app
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.