Security Vulnerabilities in Hikvision Web Browser Plug-in LocalServiceComponents

SN No. HSRC-202311-02

Edit: Hikvision Security Response Center (HSRC)

Fecha de publicación: 2023-11-23

Resumen

1. Una vulnerabilidad de desbordamiento de búfer en un complemento de navegador web podría permitir a un atacante explotar la vulnerabilidad mediante el envío de mensajes crafteados a equipos instalados con este complemento, lo que podría conducir a la ejecución de código arbitrario o provocar la excepción de proceso del complemento.

2. Un atacante podría explotar una vulnerabilidad enviando mensajes falsificados a ordenadores instalados con este complemento para modificar los parámetros del mismo, lo que podría provocar que los ordenadores afectados descargaran archivos maliciosos.

CVE ID

CVE-2023-28812

CVE-2023-28813

Puntuación

CVSS v3.1 se adopta en esta puntuación de vulnerabilidad(http://www.first.org/cvss/specification-document)

CVE-2023-28812

Puntuación de base：9.1 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H)

CVE-2023-28813

Puntuación de base：8.1 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H)

Versiones afectadas y correcciones

Producto	Versiones afectadas	Versión corregida
LocalServiceComponents	version 1.0.0.78 and the versions prior to it	1.0.0.81

Obtenga la versión corregida

Los usuarios pueden descargar el ajuste en el sitio web oficial de Hikvision.(https://www.hikvision.com/mx/support/tools/hitools/cl31f95c645ddb0235/)

Fuente de información sobre vulnerabilidad

Esta vulnerabilidad es reportada a HSRC por Team.ENVY (KITRI BoB 12th).

Contacte con nosotros

Para informar de cualquier problema de seguridad o vulnerabilidad en los productos y soluciones de Hikvision, póngase en contacto con el Centro de Respuesta de Seguridad de Hikvision en hsrc@hikvision.com.

Hikvision agradece a todos los investigadores de seguridad la atención prestada a nuestros productos.