Security Notification - Command Injection Vulnerability in Some Hikvision products

Pemberitahuan Keamanan - Kerentanan Injeksi Perintah (Command Injection) pada beberapa produk Hikvision

SN No.: HSRC-202109-01

Edit: Hikvision Security Response Center (HSRC)

Tanggal rilis awal: 19-09-2021

Ringkasan:

Kerentanan injeksi perintah di server web beberapa produk Hikvision. Karena validasi input yang tidak mencukupi, penyerang dapat mengeksploitasi kerentanan untuk meluncurkan serangan injeksi perintah dengan mengirimkan beberapa pesan dengan perintah berbahaya.

CVE ID:

CVE-2021-36260

Skor:

CVSS v3 diadopsi dalam penilaian kerentanan ini(http://www.first.org/cvss/specification-document)

Skor dasar: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Skor sementara: 8.8 (E:P/RL:O/RC:C)

Versi yang terpengaruh dan versi yang diselesaikan:

Informasi versi yang terpengaruh dan versi yang diselesaikan:

Product name

Affected version(s)

DS-2CVxxx1
DS-2CVxxx6

Versions which Build time before 210625

HWI-xxxx

IPC-xxxx

DS-2CD1xx1

DS-2CD1x23G0

DS-2CD1x23G0E(C)
DS-2CD1x43(B)
DS-2CD1x43(C)
DS-2CD1x43G0E
DS-2CD1x53(B)
DS-2CD1x53(C)

DS-2CD1xx7G0

DS-2CD2xx6G2

DS-2CD2xx6G2(C)

DS-2CD2xx7G2

DS-2CD2xx7G2(C)

DS-2CD2x21G0

DS-2CD2x21G0(C)

DS-2CD2x21G1

DS-2CD2x21G1(C)

DS-2CD2xx3G2

DS-2CD3xx6G2

DS-2CD3xx6G2(C)
DS-2CD3xx7G2
DS-2CD3xx7G2(C)

DS-2CD3xx7G0E

DS-2CD3x21G0

DS-2CD3x21G0(C)
DS-2CD3x51G0(C)

DS-2CD3xx3G2

DS-2CD4xx0
DS-2CD4xx6
iDS-2XM6810
iDS-2CD6810

DS-2XE62x2F(D)
DS-2XC66x5G0
DS-2XE64x2F(B)

DS-2CD8Cx6G0

(i)DS-2DExxxx

(i)DS-2PTxxxx

(i)DS-2SE7xxxx

DS-2DYHxxxx

DS-DY9xxxx

PTZ-Nxxxx

HWP-Nxxxx

DS-2DF5xxxx
DS-2DF6xxxx
DS-2DF6xxxx-Cx
DS-2DF7xxxx
DS-2DF8xxxx
DS-2DF9xxxx

iDS-2PT9xxxx

iDS-2SK7xxxx
iDS-2SK8xxxx

iDS-2SR8xxxx

iDS-2VSxxxx

DS-2TBxxx
DS-Bxxxx
DS-2TDxxxxB

Versions which Build time before 210702

DS-2TD1xxx-xx
DS-2TD2xxx-xx

DS-2TD41xx-xx/Wx
DS-2TD62xx-xx/Wx
DS-2TD81xx-xx/Wx
DS-2TD4xxx-xx/V2
DS-2TD62xx-xx/V2
DS-2TD81xx-xx/V2

DS-76xxNI-K1xx(C)
DS-76xxNI-Qxx(C)
DS-HiLookI-NVR-1xxMHxx-C(C)
DS-HiLookI-NVR-2xxMHxx-C(C)
DS-HiWatchI-HWN-41xxMHxx(C)
DS-HiWatchI-HWN-42xxMHxx(C)

V4.30.210 Build201224 - V4.31.000 Build210511

DS-71xxNI-Q1xx(C)
DS-HiLookI-NVR-1xxMHxx-D(C)
DS-HiLookI-NVR-1xxHxx-D(C)
DS-HiWatchI-HWN-21xxMHxx(C)
DS-HiWatchI-HWN-21xxHxx(C)

V4.30.300 Build210221 - V4.31.100 Build210511

Prasyarat:

Penyerang memiliki akses ke jaringan perangkat atau perangkat memiliki antarmuka langsung dengan internet

Langkah serangan:

Kirim pesan yang dibuat khusus.

Mendapatkan firmware tetap:

Pengguna harus mengunduh firmware yang diperbarui untuk menjaga dari potensi kerentanan ini. Ini tersedia di situs web resmi Hikvision: Firmware download

Sumber informasi kerentanan:

Kerentanan ini dilaporkan ke HSRC oleh peneliti keamanan Inggris, Watchful IP.

Hubungi Kami:

Jika Anda memiliki masalah atau masalah keamanan, silakan hubungi Pusat Tanggapan Keamanan Hikvision di hsrc@hikvision.com.

 

2021-09-19 V1.0 INITIAL

2021-09-23 V1.1 UPDATED: Updated Affected Versions

2021-09-24 V1.2 UPDATED: Updated Affected Versions

Download

This website uses necessary cookies to enable the website to function well. We would like to use additional cookies to provide you the best experience on our website. For more information, please see our cookie policy.

Hubungi Kami