Security Vulnerabilities in some HikCentral Products

SN No. HSRC-202508-01

Edit: Hikvision Security Response Center (HSRC)

Initial Release Date: 2025-08-28

In breve

(1) È presente una vulnerabilità di percorso di servizio non quotato (Unquoted Service Path) in alcune versioni di HikCentral FocSign. Questa potrebbe permettere a un utente autenticato di abilitare un’eventuale escalation dei privilegi tramite accesso locale.

(2) È presente una vulnerabilità per il Controllo Accessi in alcune versioni di HikCentral Professional. Questa potrebbe consentire a un utente non autenticato di ottenere i permessi di amministratore.

CVE ID

CVE-2025-39246

CVE-2025-39247

Scoring

CVSS v3.1 is adopted in scoring these vulnerabilities

(http://www.first.org/cvss/specification-document）

CVE-2025-39246

Base score: 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

CVE-2025-39247

Base score: 8.6 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)

Versioni interessate e Aggiornamenti

Product Name	CVE ID	Affected Versions	Fixed Version
HikCentral FocSign	CVE-2025-39246	Versions between V1.4.0 and V2.2.0	V2.3.0
HikCentral Professional	CVE-2025-39247	Versions between V2.3.1 and V2.6.2	V2.6.3*

*scaricare e installare HikCentral Professional_Full Pack_V2.6.3

Aggiornare alla versione corretta

Prima di qualunque azione, ti invitiamo a contattare il tuo referente Hikvision per valutare se l'aggiornamento indicato è compatibile con la tua versione di HikCentral.

Fonte delle informazioni sulla vulnerabilità

Queste vulnerabilità sono state segnalate all’HSRC da Yousef Alfuhaid / Nader Alharbi (segnalazione congiunta), Eduardo Bido e Dr. Matthias Lutter.

Contatti

Per segnalare eventuali problemi di sicurezza o vulnerabilità nei prodotti e nelle soluzioni Hikvision, si prega di contattare l’Hikvision Security Response Center all’indirizzo hsrc@hikvision.com.

Hikvision desidera ringraziare tutti i ricercatori di sicurezza per l’attenzione rivolta ai nostri prodotti.