פרצות אבטחה בסדרת המוצרים של HikCentral

SN מס. HSRC-202410-01

עריכה: Hikvision Security Response Center (HSRC)

תאריך יציאה ראשוני: 2024-10-18

תקציר

(1) קיימת פגיעות של הזרקת CSV בחלק מהגרסאות של HikCentral Master Lite. אם מנוצל, תוקף עלול לבנות נתונים זדוניים כדי ליצור פקודות הפעלה בקובץ ה-CSV.

(2) קיימת פגיעות XSS בחלק מהגרסאות של HikCentral Master Lite. אם הוא מנוצל, תוקף עלול להחדיר סקריפטים לדפים מסוימים על ידי בניית נתונים זדוניים.

(3) קיימת פגיעות של הזרקת SQL בחלק מהגרסאות של HikCentral Professional. זה יכול לאפשר למשתמש מאומת לבצע שאילתות SQL שרירותיות.

מזהה CVE

CVE-2024-47485

CVE-2024-47486

CVE-2024-47487

ניקוד

CVSS v4.0 מאומץ בניקוד הפגיעויות הללו

CVE-2024-47485

ציון בסיס: 5.5 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H)

CVE-2024-47486

ציון בסיס: 2.1 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N)

CVE-2024-47487

ציון בסיס: 7.2 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:L/VA:L/SC:L/SI:L/SA:L)

גרסאות מושפעות ותיקון