Vulnérabilité de la sécurité dans certains produits Hybrid SAN de Hikvision

Vulnérabilité de la sécurité dans certains produits Hybrid SAN/Cluster Storage de Hikvision

N° série : HSRC-202206-01

Editeur :HSRC (Centre de réponse de sécurité Hikvision) :

Date de sortie initiale 23/06/2022

 

résumé

Le module Web de certains produits Hikvision Hybrid SAN/Cluster Storage présente les vulnérabilités de sécurité suivantes :

1) En raison de la validation d'entrée insuffisante, l'attaquant peut exploiter la vulnérabilité permettant d'exécuter des commandes restreintes en envoyant des messages contenant des commandes malveillantes à l'appareil affecté. 

2) En raison de la validation d'entrée insuffisante, l'attaquant peut exploiter la vulnérabilité permettant une attaque XSS en envoyant des messages contenant des commandes malveillantes à l'appareil affecté.

 

ID CVE

CVE-2022-28171

CVE-2022-28172

 

Notation

CVSS v3 est adopté dans cette notation de vulnérabilité. 

(http://www.first.org/cvss/specification-document)

CVE-2022-28171

Notation de base : 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

Score temporel  : 6.7 (/E:P/RL:O/RC:C)

CVE-2022-28172

Notation de base : 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)

Score temporel  : 5.9 (E:P/RL:O/RC:C)

 

Versions et correctifs concernés

Nom du produit Versions affectées
DS-A71024/48/72R Versions inférieures à V2.3.8-6 (y compris V2.3.8-6)
DS-A80624S
DS-A81016S
DS-A72024/72R
DS-A80316S
DS-A82024D
DS-A71024/48R-CVS Versions inférieures à V1.1.4 (y compris V1.1.4)
DS-A72024/48R-CVS

Condition préalable

L'attaquant dispose d'un accès réseau à l'appareil.

 

Étape d'attaque

Envoyer un message malveillant spécialement conçu.

 

Obtention de versions corrigées

Les utilisateurs peuvent télécharger des correctifs/mises à jour sur le site officiel de Hikvision (cliquez ici) pour atténuer ces vulnérabilités. 

 

Contactez-nous

Pour signaler tout problème de sécurité ou toute vulnérabilité dans les produits et solutions Hikvision, veuillez contacter Hikvision Security Response Center à l'adresse hsrc@hikvision.com.

 

Hikvision tient à remercier tous les chercheurs en sécurité qui s'évertuent à identifier et à atténuer les éventuelles vulnérabilités de nos produits afin de garantir que nos solutions protègent les personnes, les lieux et les actifs tout en protégeant les données des utilisateurs. 

 

 

Pour en savoir plus, consultez la Lettre aux partenaires >>

Votre consentement aux cookies

Hikvision.com utilise des cookies et des technologies associées strictement nécessaires pour permettre au site Web de fonctionner, notamment pour vous authentifier / sécuriser notre service / enregistrer certaines préférences / enregistrer vos préférences en matière de cookies.

Avec votre consentement, nous aimerions également utiliser des cookies pour observer et analyser les niveaux de trafic et d'autres mesures / vous montrer des publicités ciblées / vous montrer des publicités en fonction de votre localisation. Vous pouvez toujours vous opposer et modifier l'utilisation de ces cookies en utilisant le bouton Gérer les cookies sur le site Web.

Pour plus d'informations sur les pratiques en matière de cookies, veuillez consulter notre politique relative aux cookies.

Contactez-Nous
Hik-Partner Pro close
Hik-Partner Pro
Security Business Assistant. At Your Fingertips. Learn more
Hik-Partner Pro
Scan and download the app
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.