Notificación de seguridad - Vulnerabilidad de inyección de comando en algunos productos Hikvision

Notificación de seguridad - Vulnerabilidad de inyección de comando en algunos productos Hikvision

N.o de SN: HSRC-202109-01

Editar: HSRC (centro de respuesta de seguridad de Hikvision):

Fecha de publicación inicial: 2021-09-19

Descargar firmware fijo: Los usuarios pueden buscar el firmware a través del número de serie del producto aquí

Resumen:

Una vulnerabilidad de inyección de comandos en el servidor web de algún producto de Hikvision. Debido a la validación de entrada insuficiente, el atacante puede explotar la vulnerabilidad para lanzar un ataque de inyección de comandos enviando algunos mensajes con comandos maliciosos.

ID CVE:

CVE-2021-36260

Puntuación:

CVSS v3 se adopta en esta puntuación de vulnerabilidad(http://www.first.org/cvss/specification-document)

Calificación básica: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Calificación temporal: 8.8 (E:P/RL:O/RC:C)

Versiones afectadas y versión resuelta:

El firmware de su dispositivo se ve afectado por esta vulnerabilidad de seguridad (CVE-2021-36260) si su versión tiene fecha anterior a 210628. Instale las actualizaciones inmediatamente. Información de las versiones afectadas y las versiones resueltas:

Nombre del producto

Versión(es) afectadas

DS-2CVxxx1
DS-2CVxxx6

Versiones que crean tiempo antes de 210625

HWI-xxxx

IPC-xxxx

DS-2CD1xx1

DS-2CD1x23G0E(C)

DS-2CD1x43(B)
DS-2CD1x43(C)
DS-2CD1x43G0E
DS-2CD1x53(B)
DS-2CD1x53(C)

DS-2CD1xx7G0

DS-2CD2xx6G2

DS-2CD2xx6G2(C)

DS-2CD2xx7G2

DS-2CD2xx7G2(C)

DS-2CD2x21G0(C)

DS-2CD2x21G1(C)

DS-2CD2xx3G2

DS-2CD3xx6G2

DS-2CD3xx6G2(C)
DS-2CD3xx7G2
DS-2CD3xx7G2(C)

DS-2CD3xx7G0E

DS-2CD3x21G0

DS-2CD3x21G0(C)
DS-2CD3x51G0(C)

DS-2CD3xx3G2

DS-2CD4xx0
DS-2CD4xx6
iDS-2XM6810
iDS-2CD6810

DS-2XE62x2F(D)
DS-2XC66x5G0
DS-2XE64x2F(B)

DS-2CD8Cx6G0

(i)DS-2PTxxxx

(i)DS-2SE7xxxx

DS-2DYHxxxx

DS-2DY9xxxx

PTZ-Nxxxx

HWP-Nxxxx

DS-2DF5xxxx
DS-2DF6xxxx
DS-2DF6xxxx-Cx
DS-2DF7xxxx
DS-2DF8xxxx
DS-2DF9xxxx

iDS-2PT9xxxx

iDS-2SK7xxxx
iDS-2SK8xxxx

iDS-2SR8xxxx

iDS-2VSxxxx

DS-2TBxxx
DS-Bxxxx
DS-2TDxxxxB

Versiones que crean tiempo antes de 210702

DS-2TD1xxx-xx
DS-2TD2xxx-xx

DS-2TD41xx-xx/Wx
DS-2TD62xx-xx/Wx
DS-2TD81xx-xx/Wx
DS-2TD4xxx-xx/V2
DS-2TD62xx-xx/V2
DS-2TD81xx-xx/V2

DS-76xxNI-K1xx(C)
DS-76xxNI-Qxx(C)
DS-HiLookI-NVR-1xxMHxx-C(C)
DS-HiLookI-NVR-2xxMHxx-C(C)
DS-HiWatchI-HWN-41xxMHxx(C)
DS-HiWatchI-HWN-42xxMHxx(C)

Versión V4.30.210Build201224 - Versión V4.31.000Build210511

DS-71xxNI-Q1xx(C)
DS-HiLookI-NVR-1xxMHxx-D(C)
DS-HiLookI-NVR-1xxHxx-D(C)
DS-HiWatchI-HWN-21xxMHxx(C)
DS-HiWatchI-HWN-21xxHxx(C)

Versión V4.30.300Build210221 - Versión V4.31.100Build210511

DS-2CD1x23G0 Versiones anteriores (no incluidas) V5.5.0 de la versión xxxxxx
DS-2CD2xx1G0
DS-2CD2xx1G1
DS-2CD2x27G1
DS-2CD2x27G3E
DS-2CD4xx6FWD (no ANSI)
DS-2CD4xx5G0
DS-2XE6xx5G0
DS-2XE6xx2F
DS-2XM6xx2FWD
DS-2XM6xx2G0
(i)DS-2DExxxx

 

Condiciones previas:

El atacante tiene acceso a la red del dispositivo o el dispositivo tiene una interfaz directa con Internet

Paso de ataque:

Envíe un mensaje especialmente diseñado.

Obtención de firmware fijo:

Los usuarios deben descargar el firmware actualizado para protegerse contra esta vulnerabilidad potencial. Está disponible en el sitio web oficial de Hikvision: Descarga de firmware. Los usuarios también pueden utilizar la herramienta de búsqueda de actualizaciones importantes del firmware para detectar rápidamente vulnerabilidades críticas y descargar el firmware correspondiente.

Fuente de información de vulnerabilidad:

El investigador de seguridad del Reino Unido Watchful IP informa de esta vulnerabilidad al HSRC.

Contáctenos:

Si tiene algún problema o inquietud de seguridad, póngase en contacto con el Centro de Respuesta de Seguridad de Hikvision en hsrc@hikvision.com.

 

2021-09-19 V1.0 INICIAL

2021-09-23 V1.1 ACTUALIZADO: Versiones afectadas actualizadas

2021-09-24 V1.2 ACTUALIZADO: Versiones afectadas actualizadas

2021-11-08 V1.3 ACTUALIZADO: Versiones afectadas actualizadas

2021-12-31 V1.4 ACTUALIZADO: Versiones afectadas actualizadas

Documentos de procedimientos

Este sitio web utiliza cookies para almacenar información en su dispositivo. Las cookies ayudan a que nuestro sitio web funcione normalmente y nos muestran cómo podemos mejorar su experiencia de usuario.

Al continuar navegando por el sitio, usted acepta nuestra política de cookies y nuestra política de privacidad.

Contáctenos
Hik-Partner Pro close
Hik-Partner Pro
Security Business Assistant. At Your Fingertips. Learn more
Hik-Partner Pro
Scan and download the app
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.