Notification de sécurité - Vulnérabilité d'injection de commande dans certains produits Hikvision

Notification de sécurité - Vulnérabilité d'injection de commande dans certains produits Hikvision

SN No.:HSRC-202109-01

Editeur : HSRC (Centre de réponse de sécurité Hikvision)

Date de sortie initiale :19/09/2021

Télécharger le firmware correctif ici  :Les utilisateurs peuvent rechercher le firmware via le numéro de série du produit ici. 

Résumé :

Une vulnérabilité d'injection de commande dans le serveur Web de certains produits Hikvision. En raison de la validation d'entrée insuffisante, l'attaquant peut exploiter la vulnérabilité pour lancer une attaque par injection de commande en envoyant des messages avec des commandes malveillantes.

ID CVE

CVE-2021-36260

Notation  :

CVSS v3 est adopté dans ce score de vulnérabilité (http://www.first.org/cvss/specification-document)

Notation de base : 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Score temporel  : 8.8 (E:P/RL:O/RC:C)

Versions affectées et version résolue :

Le firmware de votre appareil est affecté par cette vulnérabilité de sécurité (CVE-2021-36260) si sa version est antérieure à 210628. Veuillez installer les mises à jour immédiatement. Informations sur les versions concernées et les versions résolues :

Nom du produit

Versions affectées

DS-2CVxxx1
DS-2CVxxx6

Versions conçues avant le 21.06.25

HWI-xxxx

IPC-xxxx

DS-2CD1xx1

DS-2CD1x23G0E(C)

DS-2CD1x43(B)
DS-2CD1x43(C)
DS-2CD1x43G0E
DS-2CD1x53(B)
DS-2CD1x53(C)

DS-2CD1xx7G0

DS-2CD2xx6G2

DS-2CD2xx6G2(C)

DS-2CD2xx7G2

DS-2CD2xx7G2(C)

DS-2CD2x21G0(C)

DS-2CD2x21G1(C)

DS-2CD2xx3G2

DS-2CD3xx6G2

DS-2CD3xx6G2(C)
DS-2CD3xx7G2
DS-2CD3xx7G2(C)

DS-2CD3xx7G0E

DS-2CD3x21G0

DS-2CD3x21G0(C)
DS-2CD3x51G0(C)

DS-2CD3xx3G2

DS-2CD4xx0
DS-2CD4xx6
iDS-2XM6810
iDS-2CD6810

DS-2XE62x2F(D)
DS-2XC66x5G0
DS-2XE64x2F(B)

DS-2CD8Cx6G0

(i)DS-2PTxxxx

(i)DS-2SE7xxxx

DS-2DYHxxxx

DS-2DY9xxxx

PTZ-Nxxxx

HWP-Nxxxx

DS-2DF5xxxx
DS-2DF6xxxx
DS-2DF6xxxx-Cx
DS-2DF7xxxx
DS-2DF8xxxx
DS-2DF9xxxx

iDS-2PT9xxxx

iDS-2SK7xxxx
iDS-2SK8xxxx

iDS-2SR8xxxx

iDS-2VSxxxx

DS-2TBxxx
DS-Bxxxx
DS-2TDxxxxB

Versions conçues avant le 21.07.02

DS-2TD1xxx-xx
DS-2TD2xxx-xx

DS-2TD41xx-xx/Wx
DS-2TD62xx-xx/Wx
DS-2TD81xx-xx/Wx
DS-2TD4xxx-xx/V2
DS-2TD62xx-xx/V2
DS-2TD81xx-xx/V2

DS-76xxNI-K1xx(C)
DS-76xxNI-Qxx(C)
DS-HiLookI-NVR-1xxMHxx-C(C)
DS-HiLookI-NVR-2xxMHxx-C(C)
DS-HiWatchI-HWN-41xxMHxx(C)
DS-HiWatchI-HWN-42xxMHxx(C)

V4.30.210 Build201224 - V4.31.000 Build210511

DS-71xxNI-Q1xx(C)
DS-HiLookI-NVR-1xxMHxx-D(C)
DS-HiLookI-NVR-1xxHxx-D(C)
DS-HiWatchI-HWN-21xxMHxx(C)
DS-HiWatchI-HWN-21xxHxx(C)

V4.30.300 Build210221 - V4.31.100 Build210511

DS-2CD1x23G0 Versions antérieures (ne pas inclure) V5.5.0 build xxxxxx
DS-2CD2xx1G0
DS-2CD2xx1G1
DS-2CD2x27G1
DS-2CD2x27G3E
DS-2CD4xx6FWD (Non-ANPR)
DS-2CD4xx5G0
DS-2XE6xx5G0
DS-2XE6xx2F
DS-2XM6xx2FWD
DS-2XM6xx2G0
(i)DS-2DExxxx

 

Condition préalable :

L'attaquant a accès au réseau de l'appareil ou l'appareil a une interface directe avec Internet

Étape d'attaque :

Envoyer un message spécialement conçu.

Obtention du firmware corrigé :

Les utilisateurs doivent télécharger le micrologiciel mis à jour pour se prémunir contre cette vulnérabilité potentielle. Il est disponible sur le site officiel de Hikvision. Télécharger le firmware Les utilisateurs peuvent également utiliser l'outil de recherche pour les mises à jour importantes de firmwares pour détecter rapidement les vulnérabilités critiques et télécharger le firmware correspondant.

Source d'informations sur la vulnérabilité :

Cette vulnérabilité est signalée au HSRC par le chercheur britannique en sécurité Watchful IP.

Contactez-nous :

Si vous avez un problème de sécurité ou une préoccupation, veuillez contacter le Centre de réponse de sécurité Hikvision à l’adresse hsrc@hikvision.com.

 

19/09/2021 V1.0 INITIAL

23/09/2021 V1.1 MISE À JOUR Versions affectées mises à jour

24/09/2021 V1.2 MISE À JOUR Versions affectées mises à jour  :

08/11/2021 V1.3 MISE À JOUR Versions affectées mises à jour

31/12/2021 V1.1 MISE À JOUR Versions affectées mises à jour

Documents pratiques

Votre consentement aux cookies

Hikvision.com utilise des cookies et des technologies associées strictement nécessaires pour permettre au site Web de fonctionner, notamment pour vous authentifier / sécuriser notre service / enregistrer certaines préférences / enregistrer vos préférences en matière de cookies.

Avec votre consentement, nous aimerions également utiliser des cookies pour observer et analyser les niveaux de trafic et d'autres mesures / vous montrer des publicités ciblées / vous montrer des publicités en fonction de votre localisation. Vous pouvez toujours vous opposer et modifier l'utilisation de ces cookies en utilisant le bouton Gérer les cookies sur le site Web.

Pour plus d'informations sur les pratiques en matière de cookies, veuillez consulter notre politique relative aux cookies.

Contactez-Nous
back to top

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.