SN No. HSRC-202404-01
Editeur :HSRC (Centre de réponse de sécurité Hikvision) :
Date de sortie initiale 2024-04-02
Résumé :
1. Il existe une vulnérabilité de déréférencement de pointeur NULL dans certains NVR Hikvision. En raison d'une validation insuffisante d'un paramètre dans un message, un attaquant peut envoyer des messages spécialement conçus à un produit affecté, provoquant une anomalie de processus.
2. Certains NVR Hikvision présentent une vulnérabilité de lecture hors limites. Un attaquant authentifié pourrait exploiter cette vulnérabilité en envoyant des messages spécialement conçus à un dispositif vulnérable, ce qui provoquerait une anomalie de service.
3. Il existe une vulnérabilité d'injection de commande dans certains NVR Hikvision. Cette vulnérabilité pourrait permettre à un utilisateur authentifié disposant de droits d'administration d'exécuter des commandes arbitraires.
Hikvision recommande aux utilisateurs de définir des mots de passe complexes pour les appareils afin d'atténuer la possibilité d'exploitation des vulnérabilités susmentionnées.
ID CVE
CVE-2024-29947
CVE-2024-29948
CVE-2024-29949
Notation :
CVSS v3.1 est adoptée pour évaluer ces vulnérabilités
(http://www.first.org/cvss/specification-document)
CVE-2024-29947
Notation de base : 2.7 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L)
CVE-2024-29948
Notation de base : 3.8 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:L)
CVE-2024-29949
Notation de base : 7.2 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
Versions concernées et corrections:
Nom du produit
|
Affecté par
|
Versions affectées
|
DS-7604NI-K1 / 4P(B)
|
CVE-2024-29947 &
CVE-2024-29949
|
V4.30.096 build221220 et les versions antérieures
|
DS-7604NXI-K1/4P
|
CVE-2024-29948
|
V4.76.005 build231012 et les versions antérieures
|
DS-76xxNI-Mx
DS-77xxNI-Mx
DS-96xxxNI-Mxx
DS-76xxNXI-Ix
DS-77xxNXI-Ix
DS-86xxNXI-Ix
DS-96xxNXI-Ix
iDS-76xxNXI-Mx
iDS-77xxNXI-Mx
iDS-96xxxMXI-Mxx
|
CVE-2024-29949
|
Versions après V5.00.000 (y compris V5.00.000) et avant V5.02.006(not including V5.02.006) |
DS-7604NI-M1/4P
|
Versions postérieures à V5.00.000 (y compris V5.00.000) et antérieures à V5.01.070(not including V5.01.070) |
Obtenir des versions corrigées
Les utilisateurs peuvent télécharger les correctifs/mises à jour sur le site officiel de Hikvision
Source d'informations sur la vulnérabilité
Ces vulnérabilités ont été signalées au HSRC par Team.ENVY (KITRI BoB 12th).
Contactez-nous
Pour signaler tout problème de sécurité ou toute vulnérabilité dans les produits et solutions Hikvision, veuillez contacter le Hikvision Security Response Center à l'adresse hsrc@hikvision.com.
Hikvision souhaite remercier tous les chercheurs en sécurité pour l'attention qu'ils portent à ses produits.
Cet avis de sécurité est publié et mis à jour en fonction des résultats de l'enquête menée par Hikvision et est susceptible d'être modifié.
Les Technologies Hikvision
Sélecteur de Produits
HiTools Designer
Nouveaux produits
Activation de licence Hikvision
App Store Hikvision
