הודעת אבטחה – פגיעות בביצוע פקודות מרחוק בכמה נקודות גישה אלחוטיות של Hikvision

מספר סידורי (SN): HSRC-202506-01

נערך: Hikvision Security Response Center (HSRC)

תאריך שחרור ראשוני: 2025-06-13

סיכום

כמה נקודות גישה אלחוטיות של Hikvision פגיעות לביצוע פקודות מרחוק מאומתות עקב חוסר מספיק באימות קלט. תוקפים בעלי הרשאות חוקיות יכולים לנצל פגם זה על ידי שליחת חבילות מעוצבות המכילות פקודות זדוניות למכשירים הפגועים, מה שעלול לגרום לביצוע פקודות שרירותיות.

CVE ID

CVE-2025-39240

דירוג:

CVSS v3.1 is adopted in this vulnerability scoring. (http://www.first.org/cvss/specification-document)

Base score: 7.2 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

גרסאות מושפעות ותיקון:

דגם המוצר	גרסאות מושפעות	גרסה מתוקנת
DS-3WAP622G-SI	V1.1.5402 build241014 (E2254P02) and the versions prior to it	V1.1.6300 build250331 (R2263)
DS-3WAP623E-SI	V1.1.5400 build240814 (E2254) and the versions prior to it	V1.1.6300 build250331 (R2263)
DS-3WAP521-SI	V1.1.5400 build240814 (E2254) and the versions prior to it	V1.1.6300 build250331 (R2263)
DS-3WAP522-SI	V1.1.5402 build241014 (E2254P02) and the versions prior to it	V1.1.6300 build250331 (R2263)
DS-3WAP621E-SI	V1.1.5400 build240814 (E2254) and the versions prior to it	V1.1.6300 build250331 (R2263)
DS-3WAP622E-SI	V1.1.5402 build241014 (E2254P02) and the versions prior to it	V1.1.6300 build250331 (R2263)