Jogosultságnövelési sebezhetőség egyes Hikvision DVR készülékek soros portján

SN No. HSRC-202512-01

Szerkesztés: Hikvision Security Response Center (HSRC)

Kezdeti megjelenési dátum: 2025.12.19.

Összefoglaló

(1) CVE-2025-66173 - Biztonsági rés azonosítható egyes Hikvision DVR termékekben, amely jogosultságnövelést tehet lehetővé. A soros port hitelesítésének nem megfelelő megvalósítása miatt egy, az eszközhöz fizikailag hozzáférő támadó kihasználhatja ezt a sérülékenységet: csatlakozást követően korlátozás nélküli parancssori hozzáférést szerezhet az érintett készülékeken.

(2) CVE-2025-66174 - Biztonsági rés azonosítható egyes Hikvision DVR termékekben a hitelesítési folyamat hiányosságai miatt.. A soros port hitelesítési hibája lehetővé teszi, hogy az eszközhöz fizikailag hozzáférő támadó csatlakozzon a készülékhez, és parancsokat hajtson végre rajta.

Pontozás

A CVSS v3.1 szabványt alkalmazzák a sebezhetőségek pontozására.

(http://www.first.org/cvss/specification-document)

CVE-2025-66173

Alap pontszám: 6.2 (CVSS:3.1/AV:P/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

CVE-2025-66174

Alap pontszám: 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L)

Érintett verziók és javítás

Terméknév

CVE-azonosító

Érintett verziók

Javított verzió

DS-7104HGHI-F1

CVE-2025-66173、CVE-2025-66174

V4.30.122_201107 alatti verziók (beleértve a V4.30.122_201107 verziót)

Kattintson a letöltéshez

DS-7204HGHI-F1

CVE-2025-66173、CVE-2025-66174

V4.30.122_201107 alatti verziók (beleértve a V4.30.122_201107 verziót)

Kattintson a letöltéshez

A sebezhetőségre vonatkozó információk forrása

Ezeket a sebezhetőségeket Aaron J Jose jelentette a HSRC-nek Indiában, és szeretnénk megköszönni az együttműködést az indiai Nemzeti Számítógépes Vészhelyzet-elhárító Csoportnak (CERT-In), amely koordinálta velünk a sebezhetőség kezelését.

Lépjen kapcsolatba velünk!

A Hikvision termékekkel és megoldásokkal kapcsolatos biztonsági problémák vagy sebezhetőségek bejelentéséhez forduljon a Hikvision Biztonsági Válasz Központhoz a hsrc@hikvision.com címen.

A Hikvision szeretné megköszönni minden biztonsági kutatónak, hogy figyelemmel kísérik termékeinket.

Nyilatkozat

Ezt a dokumentumot "AZONNAL" és mindenféle kifejezett vagy hallgatólagos garancia nélkül nyújtjuk, beleértve, de nem kizárólagosan az eladhatóságra vagy a meghatározott célra való alkalmasságra vonatkozó garanciákat.

A Hikvision, valamint annak közvetlenül vagy közvetve irányított leányvállalatai és beszállítói nem vállalnak felelősséget a jelen dokumentum használatából eredő vagy azzal összefüggésben felmerülő semmilyen kárért, beleértve a közvetlen, közvetett, véletlenszerű, különleges vagy következményes károkat is.

A Hikvision fenntartja a jogot, hogy a jelen dokumentumot bármikor módosítsa vagy frissítse.