Biztonsági rés egyes HikCentral termékekben

SN-szám: HSRC-202508-01

Szerkesztés: HSRC (Hikvision Biztonsági Válasz Központ):

Az eredeti kiadás dátuma: 2025-08-28

Összefoglaló

(1) Bizonyos HikCentral Master Lite verziókban CSV Injection sebezhetőség van. Ez lehetővé teheti a támadó számára, hogy rosszindulatú CSV-adatokon keresztül futtatható parancsokat juttasson be.

(2) Bizonyos HikCentral FocSign verziókban van egy Unquoted Service Path sebezhetőség. Ez lehetővé teheti egy hitelesített felhasználó számára, hogy helyi hozzáféréssel növelje a jogosultságokat.

(3) A HikCentral Professional egyes verzióinak hálózati környezetére vonatkozó sérülékenysége van. Ez lehetővé teheti egy nem hitelesített felhasználó számára, hogy rendszergazdai hozzáférést szerezzen a platformhoz.

CVE-azonosító

CVE-2025-39245

CVE-2025-39246

CVE-2025-39247

Pontozás

A CVSS v3.1 szabványt alkalmazzák a sebezhetőségek pontozására.

(http://www.first.org/cvss/specification-document ）

CVE-2025-39245

Alap pontszám: 4,7 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L)

CVE-2025-39246

Alap pontszám: 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

CVE-2025-39247

Alap pontszám: 8.6 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)

Érintett verziók

Terméknév	CVE-azonosító	Érintett verziók
HikCentral Master Lite	CVE-2025-39245	V2.2.1 és V2.3.2 közötti verziók
HikCentral FocSign	CVE-2025-39246	V1.4.0 és V2.2.0 közötti verziók
HikCentral Professional	CVE-2025-39247	V2.3.1 és V2.6.2 közötti verziók V3.0.0 verzió

Megoldás és a hozzáférés módja

Az összes érintett alapverzió-tartomány esetében javasoljuk a frissítést a legújabb alapverzióra (2.6.3 vagy 3.0.1-től kezdődően), az EU regionális szoftverbevezetési tervétől függően. Ezek letölthetők az EU regionális szoftvertámogatási oldaláról (EU Link lent).
https://www.hikvision.com/europe/support/download/software/

Alternatív megoldásként minden érintett verzióhoz – legyen az alapkiadás vagy testreszabott HikCentral Professional projekt – elérhető egy dedikált biztonsági javítás. Az egyes javítások letölthetők és elérhetők a megfelelő regionális szoftvertámogatási oldalról. Példa: A 2.6.2-es verzióhoz az EU támogatási oldaláról származó javítás alább található.
https://www.hikvision.com/europe/support/download/software/hikcentral-professional-v2-6-2/

CVE-2025-39247_FixPack
- Méret: 31.1MB
  
  MD5: 95e235f3f84db124dd7dab7223ab4e0a
Letöltés

Letöltés

Ha szükséges, kérjük, forduljon regionális telepítőjéhez, integrátorához, forgalmazójához, a helyi Hikvision ügyfélszolgálathoz vagy a support.eu@hikvision.com címre, hogy segítséget kapjon a javítás végrehajtásához. A javítást a HikCentral Professional központi szerverre kell telepíteni rendszergazdai jogosultságokkal.

A javítás bevezetése során biztonsági engedélyezési kódot kell kérni. Ezt a helyi Hikvision ügyfélszolgálaton vagy a support.eu@hikvision.com címen szerezheti be.

A sebezhetőségi információk forrása

Ezeket a sebezhetőségeket Yousef Alfuhaid / Nader Alharbi (közös beadvány), Eduardo Bido és Dr. Matthias Lutter jelentette a HSRC-nek.

Lépjen kapcsolatba velünk!

A Hikvision termékekkel és megoldásokkal kapcsolatos biztonsági problémák vagy sebezhetőségek bejelentéséhez forduljon a Hikvision Biztonsági Válasz Központhoz a hsrc@hikvision.com címen.

A Hikvision szeretné megköszönni minden biztonsági kutatónak, hogy figyelemmel kísérik termékeinket.

Kapcsolat

Hik-Partner Pro

Security Business Assistant. At Your Fingertips. Learn more

Scan and download the app

Download

Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.