close
search
search X

Notificación de seguridad - Vulnerabilidad de inyección de comandos en algunos productos de Hikvision

Notificación de seguridad - Vulnerabilidad de inyección de comandos en algunos productos de Hikvision

    Notificación de seguridad - Vulnerabilidad de inyección de comandos en algunos productos de Hikvision

    SN No.: HSRC-202109-01

    Edición: Hikvision Security Response Center (HSRC)

    Fecha de lanzamiento inicial: 2021-09-19

    Descarga el firmaware actualizado: Firmware Download

    Resumen:

    Una vulnerabilidad de inyección de comandos en el servidor web de algunos productos de Hikvision. Debido a la insuficiente validación de entrada, el atacante puede explotar la vulnerabilidad para lanzar un ataque de inyección de comandos mediante el envío de algunos mensajes con comandos maliciosos. 

    CVE ID:

    CVE-2021-36260

    Puntuación:

    CVSS v3 se adopta en esta puntuación de vulnerabilidad(http://www.first.org/cvss/specification-document)

    Puntuación base: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

    Puntuación temporal: 8.8 (E:P/RL:O/RC:C)

    Versiones afectadas y versión actualizada:

    Información de versiones afectadas y versiones resueltas:

    Nombre de producto

    Version(es) Afectada(s)

    DS-2CVxxx1
    DS-2CVxxx6

    Versions which Build time before 210625

    HWI-xxxx

    IPC-xxxx

    DS-2CD1xx1

    DS-2CD1x23G0

    DS-2CD1x23G0E(C)
    DS-2CD1x43(B)
    DS-2CD1x43(C)
    DS-2CD1x43G0E
    DS-2CD1x53(B)
    DS-2CD1x53(C)

    DS-2CD1xx7G0

    DS-2CD2xx6G2

    DS-2CD2xx6G2(C)

    DS-2CD2xx7G2

    DS-2CD2xx7G2(C)

    DS-2CD2x21G0

    DS-2CD2x21G0(C)

    DS-2CD2x21G1

    DS-2CD2x21G1(C)

    DS-2CD2xx3G2

    DS-2CD3xx6G2

    DS-2CD3xx6G2(C)
    DS-2CD3xx7G2
    DS-2CD3xx7G2(C)

    DS-2CD3xx7G0E

    DS-2CD3x21G0

    DS-2CD3x21G0(C)
    DS-2CD3x51G0(C)

    DS-2CD3xx3G2

    DS-2CD4xx0
    DS-2CD4xx6
    iDS-2XM6810
    iDS-2CD6810

    DS-2XE62x2F(D)
    DS-2XC66x5G0
    DS-2XE64x2F(B)

    DS-2CD8Cx6G0

    (i)DS-2DExxxx

    (i)DS-2PTxxxx

    (i)DS-2SE7xxxx

    DS-2DYHxxxx

    DS-2DY9xxxx

    PTZ-Nxxxx

    HWP-Nxxxx

    DS-2DF5xxxx
    DS-2DF6xxxx
    DS-2DF6xxxx-Cx
    DS-2DF7xxxx
    DS-2DF8xxxx
    DS-2DF9xxxx

    iDS-2PT9xxxx

    iDS-2SK7xxxx
    iDS-2SK8xxxx

    iDS-2SR8xxxx

    iDS-2VSxxxx

    DS-2TBxxx
    DS-Bxxxx
    DS-2TDxxxxB

    Versions which Build time before 210702

    DS-2TD1xxx-xx
    DS-2TD2xxx-xx

    DS-2TD41xx-xx/Wx
    DS-2TD62xx-xx/Wx
    DS-2TD81xx-xx/Wx
    DS-2TD4xxx-xx/V2
    DS-2TD62xx-xx/V2
    DS-2TD81xx-xx/V2

    DS-76xxNI-K1xx(C)
    DS-76xxNI-Qxx(C)
    DS-HiLookI-NVR-1xxMHxx-C(C)
    DS-HiLookI-NVR-2xxMHxx-C(C)
    DS-HiWatchI-HWN-41xxMHxx(C)
    DS-HiWatchI-HWN-42xxMHxx(C)

    V4.30.210 Build201224 - V4.31.000 Build210511

    DS-71xxNI-Q1xx(C)
    DS-HiLookI-NVR-1xxMHxx-D(C)
    DS-HiLookI-NVR-1xxHxx-D(C)
    DS-HiWatchI-HWN-21xxMHxx(C)
    DS-HiWatchI-HWN-21xxHxx(C)

    V4.30.300 Build210221 - V4.31.100 Build210511

    Condición previa:


    El atacante tiene acceso a la red del dispositivo o el dispositivo tiene una interfaz directa con Internet.

    Paso de ataque:

    Envíe un mensaje especialmente diseñado.

    Obtención de firmware fijo:

    Los usuarios deben descargar el firmware actualizado para protegerse contra esta posible vulnerabilidad. Está disponible en el sitio web oficial de Hikvision: Descarga de firmware

    Fuente de información de vulnerabilidad:

    El investigador de seguridad del Reino Unido Watchful IP informa de esta vulnerabilidad a HSRC.

    Contáctenos:

    Si tiene un problema o inquietud de seguridad, comuníquese con el Centro de respuesta de seguridad de Hikvision en hsrc@hikvision.com.



    2021-09-19 V1.0 INICIAL

    2021-09-23 V1.1 ACTUALIZADO: Versiones afectadas actualizadas

    2021-09-24 V1.2 ACTUALIZADO: Versiones afectadas actualizadas

    Documentación
    Sales
    Technical Support
    Others
    Online Service
    Otros
    Otros
    Contáctenos