Vulnerabilità di sicurezza in alcuni prodotti Hikvision Hybrid SAN

Vulnerabilità di sicurezza in alcuni prodotti Hikvision Hybrid SAN/Archiviazione cluster

N. SN HSRC-202206-01

Modifica: Security Response Center Hikvision (HSRC)

Data di rilascio iniziale: 23/06/2022

 

Riepilogo

Il modulo web di alcuni prodotti Hikvision Hybrid SAN/archiviazione cluster presenta le seguenti vulnerabilità di sicurezza:

1) A causa di un’insufficiente controllo di validazione input dati, un utente malintenzionato può sfruttare la vulnerabilità per eseguire comandi riservati tramite invio di messaggi con comandi dannosi al dispositivo interessato. 

2) A causa di un’insufficiente controllo di validazione input dati, un utente malintenzionato può sfruttare la vulnerabilità per eseguire un attacco XSS tramite invio di messaggi con comandi dannosi nei confronti del dispositivo interessato.

 

ID CVE

CVE-2022-28171

CVE-2022-28172

 

Valutazione

CVSS v3 è stato adottato nella valutazione di questa vulnerabilità. 

(http://www.first.org/cvss/specification-document)

CVE-2022-28171

Valore base: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

Valore temporale: 6.7 (/E:P/RL:O/RC:C)

CVE-2022-28172

Valore base: 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)

Valore temporale: 5.9 (E:P/RL:O/RC:C)

 

Versioni interessate e correzioni

Nome del prodotto Versioni interessate
DS-A71024/48/72R Versione V2.3.8-6 e precedenti
DS-A80624S
DS-A81016S
DS-A72024/72R
DS-A80316S
DS-A82024D
DS-A71024/48R-CVS Versione V1.1.4 e precedenti
DS-A72024/48R-CVS

Prerequisiti

L'utente malintenzionato dispone dell'accesso di rete al dispositivo.

 

Modalità di attacco

Invio di un messaggio dannoso appositamente predisposto.

 

Come ottenere le versioni corrette

Per l'aggiornamento firmware dei prodotti Hikvision consigliamo di contattare il propio distributore di riferimento, il quale è in diretta comunicazione con il reparto tecnico di Hikvision Italy.

 

Contatti

Per segnalare eventuali problemi di sicurezza o vulnerabilità nei prodotti e nelle soluzioni Hikvision, contattare l’Hikvision Security Response Center all'indirizzo hsrc@hikvision.com.

 

Hikvision desidera ringraziare tutti gli esperti di sicurezza che contribuiscono a identificare e arginare le potenziali vulnerabilità dei nostri prodotti, garantendo che le nostre soluzioni proteggano persone, siti e beni e che i dati degli utenti siano salvaguardati. 

 

 

Consulta la nostra Comunicazione ai partner per ulteriori informazioni >>

Questo sito utilizza cookies per memorizzare informazioni sul tuo device. I cookies aiutano il normale funzionamento del nostro sito e ci mostrano come poter migliorare l'esperienza dell'utente.
Continuando la navigazione accetti la nostra cookie policy e privacy policy.

Contattaci
Hik-Partner Pro close
Hik-Partner Pro
Security Business Assistant. At Your Fingertips. Learn more
Hik-Partner Pro
Scan and download the app
Hik-PartnerPro
Hik-PartnerPro
back to top

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.