SN מס. HSRC-202410-01
עריכה: Hikvision Security Response Center (HSRC)
תאריך יציאה ראשוני: 2024-10-18
תקציר
(1) קיימת פגיעות של הזרקת CSV בחלק מהגרסאות של HikCentral Master Lite. אם מנוצל, תוקף עלול לבנות נתונים זדוניים כדי ליצור פקודות הפעלה בקובץ ה-CSV.
(2) קיימת פגיעות XSS בחלק מהגרסאות של HikCentral Master Lite. אם הוא מנוצל, תוקף עלול להחדיר סקריפטים לדפים מסוימים על ידי בניית נתונים זדוניים.
(3) קיימת פגיעות של הזרקת SQL בחלק מהגרסאות של HikCentral Professional. זה יכול לאפשר למשתמש מאומת לבצע שאילתות SQL שרירותיות.
מזהה CVE
CVE-2024-47485
CVE-2024-47486
CVE-2024-47487
ניקוד
CVSS v4.0 מאומץ בניקוד הפגיעויות הללו
(https://www.first.org/cvss/v4.0/specification-document)
CVE-2024-47485
ציון בסיס: 5.5 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H)
CVE-2024-47486
ציון בסיס: 2.1 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N)
CVE-2024-47487
ציון בסיס: 7.2 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:L/VA:L/SC:L/SI:L/SA:L)
גרסאות מושפעות ותיקון
שם המוצר
|
מזהה CVE
|
גרסאות מושפעות
|
גרסה מתוקנת
|
HikCentral Master Lite
|
CVE-2024-47485
|
Versions between V2.0.0 and V2.2.1
|
V2.3.0
|
HikCentral Master Lite
|
CVE-2024-47486
|
Versions below V2.2.1 (including V2.2.1)
|
V2.3.0
|
HikCentral Professional
|
CVE-2024-47487
|
Versions between V2.0.0 and V2.6.0
|
V2.6.1
|
HiTools Designer
New Products
Hikvision App Store
