Pemberitahuan Keamanan - Kerentanan Injeksi Perintah (Command Injection) pada beberapa produk Hikvision

Pemberitahuan Keamanan - Kerentanan Injeksi Perintah (Command Injection) pada beberapa produk Hikvision

SN No.: HSRC-202109-01

Edit: Hikvision Security Response Center (HSRC)

Tanggal rilis awal: 19-09-2021

Ringkasan:

Kerentanan injeksi perintah di server web beberapa produk Hikvision. Karena validasi input yang tidak mencukupi, penyerang dapat mengeksploitasi kerentanan untuk meluncurkan serangan injeksi perintah dengan mengirimkan beberapa pesan dengan perintah berbahaya.

CVE ID:

CVE-2021-36260

Skor:

CVSS v3 diadopsi dalam penilaian kerentanan ini(http://www.first.org/cvss/specification-document)

Skor dasar: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Skor sementara: 8.8 (E:P/RL:O/RC:C)

Versi yang terpengaruh dan versi yang diselesaikan:

Informasi versi yang terpengaruh dan versi yang diselesaikan:

Nama Produk

Versi yang terpengaruh

DS-2CVxxx1
DS-2CVxxx6

Versions which Build time before 210625

HWI-xxxx

IPC-xxxx

DS-2CD1xx1

DS-2CD1x23G0

DS-2CD1x23G0E(C)
DS-2CD1x43(B)
DS-2CD1x43(C)
DS-2CD1x43G0E
DS-2CD1x53(B)
DS-2CD1x53(C)

DS-2CD1xx7G0

DS-2CD2xx6G2

DS-2CD2xx6G2(C)

DS-2CD2xx7G2

DS-2CD2xx7G2(C)

DS-2CD2x21G0

DS-2CD2x21G0(C)

DS-2CD2x21G1

DS-2CD2x21G1(C)

DS-2CD2xx3G2

DS-2CD3xx6G2

DS-2CD3xx6G2(C)
DS-2CD3xx7G2
DS-2CD3xx7G2(C)

DS-2CD3xx7G0E

DS-2CD3x21G0

DS-2CD3x21G0(C)
DS-2CD3x51G0(C)

DS-2CD3xx3G2

DS-2CD4xx0
DS-2CD4xx6
iDS-2XM6810
iDS-2CD6810

DS-2XE62x2F(D)
DS-2XC66x5G0
DS-2XE64x2F(B)

DS-2CD8Cx6G0

(i)DS-2DExxxx

(i)DS-2PTxxxx

(i)DS-2SE7xxxx

DS-2DYHxxxx

DS-2DY9xxxx

PTZ-Nxxxx

HWP-Nxxxx

DS-2DF5xxxx
DS-2DF6xxxx
DS-2DF6xxxx-Cx
DS-2DF7xxxx
DS-2DF8xxxx
DS-2DF9xxxx

iDS-2PT9xxxx

iDS-2SK7xxxx
iDS-2SK8xxxx

iDS-2SR8xxxx

iDS-2VSxxxx

DS-2TBxxx
DS-Bxxxx
DS-2TDxxxxB

Versions which Build time before 210702

DS-2TD1xxx-xx
DS-2TD2xxx-xx

DS-2TD41xx-xx/Wx
DS-2TD62xx-xx/Wx
DS-2TD81xx-xx/Wx
DS-2TD4xxx-xx/V2
DS-2TD62xx-xx/V2
DS-2TD81xx-xx/V2

DS-76xxNI-K1xx(C)
DS-76xxNI-Qxx(C)
DS-HiLookI-NVR-1xxMHxx-C(C)
DS-HiLookI-NVR-2xxMHxx-C(C)

V4.30.210 Build201224 - V4.31.000 Build210511

DS-71xxNI-Q1xx(C)
DS-HiLookI-NVR-1xxMHxx-D(C)
DS-HiLookI-NVR-1xxHxx-D(C)

V4.30.300 Build210221 - V4.31.100 Build210511

Prasyarat:

Penyerang memiliki akses ke jaringan perangkat atau perangkat memiliki antarmuka langsung dengan internet

Langkah serangan:

Kirim pesan yang dibuat khusus.

Mendapatkan firmware tetap:

Pengguna harus mengunduh firmware yang diperbarui untuk menjaga dari potensi kerentanan ini. Ini tersedia di situs web resmi Hikvision: Firmware download

Sumber informasi kerentanan:

Kerentanan ini dilaporkan ke HSRC oleh peneliti keamanan Inggris, Watchful IP.

Hubungi Kami:

Jika Anda memiliki masalah atau masalah keamanan, silakan hubungi Pusat Tanggapan Keamanan Hikvision di hsrc@hikvision.com.

 

2021-09-19 V1.0 INITIAL

2021-09-23 V1.1 UPDATED: Updated Affected Versions

2021-09-24 V1.2 UPDATED: Updated Affected Versions

Download

Hikvision.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics / show you targeted advertising / show you advertising on the basis of your location / tailor our website's content. For more information on cookie practices please refer to our cookie policy.

 

Hubungi Kami
Hik-Partner Pro close
Hik-Partner Pro
Security Business Assistant. At Your Fingertips. Learn more
Hik-Partner Pro
Scan and download the app
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.