SN-szám: HSRC-202410-01
Szerkesztés: HSRC (Hikvision Biztonsági Válasz Központ):
Az eredeti kiadás dátuma: 2024-10-18
Összefoglaló
(1) A HikCentral Master Lite egyes verzióiban CSV injection sebezhetőség van. Ha kihasználják, a támadó rosszindulatú adatokat készíthet, hogy futtatható parancsokat generáljon a CSV-fájlban.
(2) XSS sebezhetőség van a HikCentral Master Lite egyes verzióiban. Ha kihasználják, a támadó rosszindulatú adatok építésével szkripteket juttathat be bizonyos oldalakba.
(3) A HikCentral Professional egyes verzióiban SQL-injection sebezhetőség van. Ez lehetővé teheti egy hitelesített felhasználó számára, hogy tetszőleges SQL-lekérdezéseket hajtson végre.
CVE-azonosító
CVE-2024-47485
CVE-2024-47486
CVE-2024-47487
Pontozás
A CVSS v4.0-t alkalmazzák a sebezhetőségek pontozásánál.
(https://www.first.org/cvss/v4.0/specification-document)
CVE-2024-47485
Alap pontszám: 5.5 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H)
CVE-2024-47486
Alap pontszám: 2.1 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N)
CVE-2024-47487
Alap pontszám: 7.2 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:L/VA:L/SC:L/SI:L/SA:L)
Érintett verziók és javítás
Terméknév
|
CVE-azonosító
|
Érintett verziók
|
Javított verzió
|
HikCentral Master Lite
|
CVE-2024-47485
|
V2.0.0 és V2.2.1 közötti verziók
|
V2.3.0
|
HikCentral Master Lite
|
CVE-2024-47486
|
V2.2.1 alatti verziók (beleértve a V2.2.1-et is)
|
V2.3.0
|
HikCentral Professional
|
CVE-2024-47487
|
V2.0.0 és V2.6.0 közötti verziók
|
V2.6.1
|