SN מס. HSRC-202306-01
עריכה: Hikvision Security Response Center (HSRC)
תאריך יציאה ראשוני: 2023-06-14
סיכום:
לחלק ממוצרי בקרת הכניסה/אינטרקום של Hikvision יש את פרצות האבטחה הבאות:
(1) חלק ממוצרי בקרת הכניסה חשופים להתקפת חטיפת הפעלה מכיוון שהמוצר לא מעדכן את מזהה ההפעלה לאחר שמשתמש נכנס בהצלחה. כדי לנצל את הפגיעות, התוקפים צריכים לבקש את מזהה ההפעלה בו-זמנית עם משתמש חוקי מתחבר, ומקבל הרשאות הפעלה של המכשיר על ידי זיוף ה-IP ומזהה ההפעלה של משתמש מאומת.
(2) לחלק ממוצרי בקרת כניסה/אינטרקום יש שינוי לא מורשה של פגיעויות של תצורת רשת המכשירים. תוקפים יכולים לשנות את תצורת הרשת של המכשיר על ידי שליחת מנות נתונים ספציפיות לממשק הפגיע בתוך אותה רשת מקומית.
CVE ID:
CVE-2023-28809
CVE-2023-28810
ציון
CVSS v3 קיים בניקוד פגיעות זה.
(http://www.first.org/cvss/specification-document)
CVE-2023-28809
ציון בסיס: 7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)
ציון זמני: 6.7 (/E:P/RL:O/RC:C)
CVE-2023-28810
ציון בסיס: 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
ציון זמני: 3.9 (E:P/RL:O/RC:C)
גרסאות ותיקונים מושפעים:
| שם מוצר |
מושפע Vuls |
גרסאות מושפעות |
DS-K1T804AXX
|
CVE-2023-28809 & CVE-2023-28810
|
Versions below V1.4.0_build221212 (including V1.4.0_build221212)
|
DS-K1T341AXX
|
Versions below V3.2.30_build221223 (including V3.2.30_build221223)
|
DS-K1T671XXX
|
Versions below V3.2.30_build221223 (including V3.2.30_build221223)
|
DS-K1T343XXX
|
Versions below V3.14.0_build230117 (including V3.14.0_build230117)
|
DS-K1T341C
|
Versions below V3.3.8_build230112 (including V3.3.8_build230112)
|
DS-K1T320XXX
|
Versions below V3.5.0_build220706 (including V3.5.0_build220706)
|
DS-KH63 Series
DS-KH85 Series
|
CVE-2023-28810
|
Versions below V2.2.8_build230219 (including V2.2.8_build230219)
|
| DS-KH62 Series |
Versions below V1.4.62_build220414 (including V1.4.62_build220414) |
DS-KH9310-WTE1(B)
DS-KH9510-WTE1(B)
|
Versions below V2.1.76_build230204 (including V2.1.76_build230204)
|
HiTools Designer
New Products
Hikvision App Store
