Products
TandemVu PTZ Cameras
Solar-powered Security Cameras
AX Hybrid Intrusion Alarm
Solutions
Solutions by Industry
Solutions for Small & Medium Business
Solutions Design Tool
country Mexico - Español
search X
Products
TandemVu PTZ Cameras
Solar-powered Security Cameras
AX Hybrid Intrusion Alarm
Solutions
Solutions by Industry
Solutions for Small & Medium Business
Solutions Design Tool

Security Vulnerability in Some Hikvision Access Control/Intercom Products

 

    Vulnerabilidad de seguridad en algunos productos de intercomunicación/control de acceso de Hikvision


    SN No. HSRC-202306-01

    Edición: Centro de respuesta de seguridad de Hikvision (Hikvision Security Response Center, HSRC)

    Fecha de lanzamiento inicial: 2023-06-14

     

    Resumen:

    Algunos de los productos de intercomunicación/control de acceso de Hikvision tienen las siguientes vulnerabilidades de seguridad:

    (1) Algunos productos de control de acceso son vulnerables a un ataque de secuestro de sesión porque el producto no actualiza la ID de sesión después de que un usuario inicia sesión correctamente. Para aprovechar la vulnerabilidad, los atacantes deben solicitar la ID de sesión al mismo tiempo que un usuario válido inicia sesión y así obtiene permisos de funcionamiento del dispositivo, falsificando la IP y el ID de sesión de un usuario autenticado.

     

    (2) Algunos productos de intercomunicación/control de acceso tienen vulnerabilidades de configuración de redes de dispositivos modificadas sin autorización. Los atacantes pueden modificar la configuración de la red del dispositivo enviando paquetes de datos específicos a la interfaz que esta vulnerable dentro de la misma red local.

     

    CVE ID:

    CVE-2023-28809 

    CVE-2023-28810

     

    Puntuación

    Se adopta CVSS v3 en esta puntuación de vulnerabilidad.

    (http://www.first.org/cvss/specification-document)

    CVE-2023-28809

    Puntuación base: 7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

    Puntuación temporal: 6.7 (/E:P/RL:O/RC:C)

    CVE-2023-28810

    Puntuación base: 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

    Puntuación temporal: 3.9 (E:P/RL:O/RC:C)

     

    Versiones y arreglos afectados:

    Nombre del producto Vulnerabilidades afectadas Versiones afectadas

    DS-K1T804AXX

    CVE-2023-28809 & CVE-2023-28810

    Versiones por debajo de V1.4.0_build221212 (incluida V1.4.0_build221212)

    DS-K1T341AXX

    Versiones por debajo de V3.2.30_build221223 (incluida V3.2.30_build221223)

    DS-K1T671XXX

    Versiones por debajo de V3.2.30_build221223 (incluida V3.2.30_build221223)

    DS-K1T343XXX

    Versiones por debajo de V3.14.0_build230117 (incluida V3.14.0_build230117)

    DS-K1T341C

    Versiones por debajo de V3.3.8_build230112 (incluida V3.3.8_build230112)

    DS-K1T320XXX

    Versiones por debajo de V3.5.0_build220706 (incluida V3.5.0_build220706)

    Serie DS-KH63
    Serie DS-KH85

    CVE-2023-28810

    Versiones por debajo de V2.2.8_build230219 (incluida V2.2.8_build230219)
    Serie DS-KH62 Versiones por debajo de V1.4.62_build220414 (incluida V1.4.62_build220414)

    DS-KH9310-WTE1(B)
    DS-KH9510-WTE1(B)

    Versiones por debajo de V2.1.76_build230204 (incluida V2.1.76_build230204)

    Obtención de versiones fijas

    Los usuarios pueden descargar parches/actualizaciones en el sitio web oficial de Hikvision para mitigar estas vulnerabilidades.

     

    Fuente de información de vulnerabilidades:

    Estas vulnerabilidades fueron reportadas a HSRC por Andres Hinnosaar con el apoyo de NATO CCDCOE y Peter Szot de Skylight Cyber.

     

    Contáctanos

    Para informar cualquier problema de seguridad o vulnerabilidad en los productos y soluciones de Hikvision, comunícate con el Centro de respuesta de seguridad de Hikvision (Hikvision Security Response Center, HSRC) en hsrc@hikvision.com.

     


    Hikvision desea agradecer a todos los investigadores de seguridad que ayudan a identificar y mitigar las posibles vulnerabilidades en nuestros productos para garantizar que nuestras soluciones protejan a las personas, los lugares y los activos, mientras que los datos de los usuarios están protegidos.

    Obtaining Fixed Versions

    Users can download patches/updates on the Hikvision official website to mitigate these vulnerabilities.

     

    Source of vulnerability information:

    These vulnerabilities were reported to HSRC by Andres Hinnosaar with the support of NATO CCDCOE and Peter Szot from Skylight Cyber.

     

    Contact Us

    To report any security issues or vulnerabilities in Hikvision products and solutions, please contact Hikvision Security Response Center at hsrc@hikvision.com.

     

    Hikvision would like to thank all the security researchers who help identify and mitigate potential vulnerabilities in our products to ensure that our solutions protect people, places, and assets while user data is safeguarded.

    Hikvision.com/mx/ utiliza cookies estrictamente necesarias y tecnologías relacionadas para permitir que el sitio web funcione. Con tu consentimiento, también nos gustaría utilizar cookies para observar y analizar los niveles de tráfico y otras métricas / mostrarte publicidad dirigida / mostrarte publicidad de acuerdo con tu ubicación / adaptar el contenido de nuestro sitio web. Para obtener más información sobre las prácticas de cookies, consulta nuestra política de cookies.

    Administre tus cookies Aceptar todas
    Aceptar todas Administre tus cookies
    Contact Sales
    Technical Support
    Online Service
    Subscribe Newsletter
    Where to Buy
    Contáctenos
    Hik-Partner Pro close
    Hik-Partner Pro
    Security Business Assistant. At Your Fingertips. Learn more
    Hik-Partner Pro
    Scan and download the app
    Download
    Hik-Partner Pro
    Hik-Partner Pro
    back to top

    Get a better browsing experience

    You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.