מספר סידורי (SN) HSRC-202508-01
עריכה: מרכז תגובת האבטחה של Hikvision (HSRC)
תאריך פרסום ראשוני: 28-08-2025
סיכום
(1) קיימת פגיעות מסוג CSV Injection בחלק מגרסאות HikCentral Master Lite. פגיעות זו עלולה לאפשר לתוקף להזריק פקודות הרצה באמצעות נתוני CSV זדוניים.
(2) קיימת פגיעות מסוג Unquoted Service Path בחלק מגרסאות HikCentral FocSign. פגיעות זו עלולה לאפשר למשתמש מאומת לבצע העלאת הרשאות באמצעות גישה מקומית.
(3) קיימת פגיעות מסוג Access Control בחלק מגרסאות HikCentral Professional. פגיעות זו עלולה לאפשר למשתמש לא מאומת להשיג הרשאות מנהל.
מזהה CVE
CVE-2025-39245
CVE-2025-39246
CVE-2025-39247
דירוג (Scoring)
לצורך דירוג פגיעויות אלו אומץ תקן CVSS v3.1
(http://www.first.org/cvss/specification-document)
CVE-2025-39245
דירוג בסיס (Base Score): 4.7 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L)
CVE-2025-39246
דירוג בסיס (Base Score): 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
CVE-2025-39247
דירוג בסיס (Base Score): 8.6 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)
גרסאות מושפעות ותיקון
שם המוצר
|
מזהה CVE (CVE ID)
|
גרסאות מושפעות
|
גרסה מתוקנת
|
HikCentral Master Lite
|
CVE-2025-39245
|
גרסאות בין V2.2.1 ל־V2.3.2
|
V2.4.0
|
HikCentral FocSign
|
CVE-2025-39246
|
גרסאות בין V1.4.0 ל־V2.2.0
|
V2.3.0
|
HikCentral Professional
|
CVE-2025-39247
|
גרסאות בין V2.3.1 ל־V2.6.2
גרסה V3.0.0
|
V2.6.3 או V3.0.1 |