N.o de serie HSRC-202410-01
Editar: HSRC (centro de respuesta de seguridad de Hikvision):
Fecha de publicación inicial: 2024-10-18
Resumen
(1) Hay una vulnerabilidad de inyección CSV en algunas versiones de HikCentral Master Lite. Si se explota, un atacante podría crear datos maliciosos para generar comandos ejecutables en el archivo CSV.
(2) Hay una vulnerabilidad de XSS en algunas versiones de HikCentral Master Lite. Si se explota, un atacante podría inyectar scripts en ciertas páginas creando datos maliciosos.
(3) Hay una vulnerabilidad de inyección de SQL en algunas versiones de HikCentral Professional. Esto podría permitir que un usuario autenticado ejecute consultas SQL arbitrarias.
CVE ID
CVE-2024-47485
CVE-2024-47486
CVE-2024-47487
Calificación
CVSS v4.0 se adopta para puntuar estas vulnerabilidades
(https://www.first.org/cvss/v4.0/specification-document)
CVE-2024-47485
Calificación básica: 5.5 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H)
CVE-2024-47486
Calificación básica: 2.1 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N)
CVE-2024-47487
Calificación básica: 7.2 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:L/VA:L/SC:L/SI:L/SA:L)
Versiones y correcciones afectadas
Nombre del producto
|
CVE ID
|
Versiones afectadas
|
Versión fija
|
HikCentral Master Lite
|
CVE-2024-47485
|
Versiones entre V2.0.0 y V2.2.1
|
V2.3.0
|
HikCentral Master Lite
|
CVE-2024-47486
|
Versiones inferiores a la V2.2.1 (incluida la V2.2.1)
|
V2.3.0
|
HikCentral Professional
|
CVE-2024-47487
|
Versiones entre V2.0.0 y V2.6.0
|
V2.6.1
|